수억 명 이용자 비밀번호, 암호화 되지 않고 그대로 데이터베이스에 저장
지난 주에 가장 큰 SNS 서비스를 제공하는 페이스북의 심각한 비밀번호 문제가 있었음이 알려졌습니다. 수억 명 이용자의 비밀번호가 암호화 되지 않고 그대로 데이터베이스에 저장되어 있던 것인데요. 그 동안 페이스북이 개인정보를 다루는 데 있어 여러 번 문제가 되어왔지만 이번 문제는 제일 중요한 개인정보조차 제대로 관리하지 못한 것으로 보입니다.
01_비밀번호가 데이터베이스에 그대로 저장 된다면?
비밀번호는 서비스 가입 시에 반드시 필요한 절차로, 서비스를 만드는 개발자조차도 알 수 없도록 암호화되어야 합니다.
특히 여러 서비스를 헷갈리지 않기 위해 같은 비밀번호를 사용하는 사용자들도 매우 많습니다.
어떤 한 서비스에서 데이터베이스에 암호화 없이 그대로 비밀번호를 저장해둘 경우 이 서비스가 해킹 당할 때 매우 심각한 문제가 발생합니다. 사용자가 이용하는 여러 다른 서비스들도 그대로 위험에 노출 됩니다.
02_비밀번호는 어떻게 저장 돼야 하는가?
비밀번호는 해싱 (Hashing) 이라는 암호화 과정을 반드시 거쳐야 합니다. 해싱은 보통 한 번이 아닌 여러 번을 거쳐 데이터 베이스에 저장하게 됩니다.
즉, 내가 제공한 비밀번호를 그대로 서비스 업체가 저장해서 가지고 있는 게 아니라 내가 작성한 비밀번호보다 훨씬 긴 텍스트가 데이터베이스에 저장이 되는 것입니다.
이런 경우 해킹이 되더라도 실제 비밀번호가 아니라 여러 번 암호화 과정을 거친 텍스트가 비밀번호에 저장 되어있기 때문에 이 해싱 과정을 거친 비밀번호를 도로 되돌려 원래 비밀번호를 알아내기는 상당히 어렵습니다.
03_그럼, 어떻게 비밀번호를 확인해 로그인 하나?
비밀번호를 확인하는 과정은 로그인할 때마다 이 해싱 과정을 거칩니다. 실제 사용자의 비밀번호를 비교하는 것이 아니라 해싱 과정을 로그인 할 때마다 진행한 뒤 암호화된 비밀번호를 비교하게 됩니다.
04_비밀번호 암호화는 제일 기본적인 사용자 개인정보 보호조치
이번 문제는 많은 사용자들이 페이스북을 믿고 계속 사용해도 될지 심각히 고려할 정도로 기본적인 보호조치조차 제대로 신경 쓰지 않았음을 보여주었습니다.
앞으로 사용자들이 사진을 올리고 개인 정보를 공유하는 서비스더라도 최소한의 개인정보 보호조치를 확실하게 해주기를 바랍니다.
기사제공: SeedTree (0490 420 489)
