우선 싸이월드 측에서는 비밀번호를 암호화하여 저장하기 때문에 안전하다고 하였습니다.
그렇다면 도대체 어떻게 암호화가 되는 걸까요?
싸이월드 측에서는 자사의 강화된 암호화 방식을 사용한다고 하였지만
어쨌든 뉴스에서 3초만에 뚫렸다는 암호화 방식인 MD5를 이용하여 설명하겠습니다.
MD5는 뭘까요?
쉽게 말하자면 어떤 문자를 넣더라도 일정 길이의 문자로 바꿔주는데
이를 다시 복구할 수 없게끔 바꿔주는 암호화 방식입니다.
그러면서 또 서로 다른 문자에 대해서 똑같은 암호화된 문장이 나올 확률이 거의 없는 방식이죠.
이를 해쉬 라고 부르는데, 자세히 알 필요는 없습니다 ^^
그럼 이제 MD5에 대해서 알아보았으니 한번 테스트를 해보겠습니다.
제가 만약 비밀번호를 "Je1Ke1" 인 영대소문자와 숫자 조합이 들어간 비밀번호를 사용한다고 가정하겠습니다.
http://scriptserver.mainframe8.com/md5.php
이곳에 가면 MD5 방식을 이용하여 변환 해주는 툴을 제공하는데요
여기를 통해 바꿔보면 308ea76c22706b4499f9a47f9b39ff6c 이라는 문자가 나오게 됩니다.
실제 웹사이트에서는 제가 입력하는 비밀번호인 Je1Ke1 을 저장하지 않고 위와 같은 문자를 저장합니다.
그리고 비밀번호 검사를 할때도 변환된 문장과 일치하는지를 검사하죠
그리고 이미 시중에는 MD5를 다시 풀어주는 프로그램이 돌아다니고 있습니다.
제가 위에서 다시 복구할 수 없게끔 암호화가 된다고 설명하였는데 다시 풀어주는 프로그램이 있다니 모순적이죠?
그러니까 이것은 정상적인 방법으로 푸는게 아니라 그들만의 어떠한 방법으로 크래킹하는 툴을 만든것입니다.
가장 쉽게 생각해 볼 수 있는 것은 모든 경우의 수를 하나하나 대입해봐서 일치하는 해쉬코드가 나오는 것을 비교하면 되겠네요.
다시 돌아와서 그렇다면 저렇게 저장된 비밀번호를 크래킹 툴을 이용하여 복구화 시켜보겠습니다.
이제부터 저에게 있는 정보는 내 비밀번호는 MD5방식으로 암호화된 308ea76c22706b4499f9a47f9b39ff6c 문자라는 것 하나 뿐입니다.
툴을 실행시키면 이러한 화면이 나오게 됩니다. 찾으실 분은 알아서 찾겠지만 악용의 소지 때문에 프로그램 이름을 숨겼습니다 ^^;
맨 위에 MD5 Hash 란에다가 암호화된 비밀번호를 입력하고 Start 버튼을 누르면
이렇게 프로그램이 알아서 비밀번호를 검색하기 시작합니다.
뉴스에서는 sbs911 이었나요? 하여튼 그런식으로 소문자와 숫자 조합이라서 불과 3초만에 끝났지만
제꺼는 대소문자와 숫자가 모두 포함하는 덕에 시간이 조금 걸리네요
.............................................
.............................................
대문자 까지 모두 다 검사하니까 10분이 지나도 안되길래 포기했습니다.
그래서 다시 소문자로만 바꿔서 "je1ke1" 으로 시도하였습니다.
그래서 암호화된 문자는 5af93e0565a5153558741aaf8110cb82 이네요.
이것을 다시 입력하고 시작버튼을 누른 결과
이렇게 30초만에 제 비밀번호가 풀린 것을 확인할 수 있었습니다.
그렇다면 도대체 어떻게 암호화가 되는 걸까요?
싸이월드 측에서는 자사의 강화된 암호화 방식을 사용한다고 하였지만
어쨌든 뉴스에서 3초만에 뚫렸다는 암호화 방식인 MD5를 이용하여 설명하겠습니다.
MD5는 뭘까요?
쉽게 말하자면 어떤 문자를 넣더라도 일정 길이의 문자로 바꿔주는데
이를 다시 복구할 수 없게끔 바꿔주는 암호화 방식입니다.
그러면서 또 서로 다른 문자에 대해서 똑같은 암호화된 문장이 나올 확률이 거의 없는 방식이죠.
이를 해쉬 라고 부르는데, 자세히 알 필요는 없습니다 ^^
그럼 이제 MD5에 대해서 알아보았으니 한번 테스트를 해보겠습니다.
제가 만약 비밀번호를 "Je1Ke1" 인 영대소문자와 숫자 조합이 들어간 비밀번호를 사용한다고 가정하겠습니다.
http://scriptserver.mainframe8.com/md5.php
이곳에 가면 MD5 방식을 이용하여 변환 해주는 툴을 제공하는데요
여기를 통해 바꿔보면 308ea76c22706b4499f9a47f9b39ff6c 이라는 문자가 나오게 됩니다.
실제 웹사이트에서는 제가 입력하는 비밀번호인 Je1Ke1 을 저장하지 않고 위와 같은 문자를 저장합니다.
그리고 비밀번호 검사를 할때도 변환된 문장과 일치하는지를 검사하죠
그리고 이미 시중에는 MD5를 다시 풀어주는 프로그램이 돌아다니고 있습니다.
제가 위에서 다시 복구할 수 없게끔 암호화가 된다고 설명하였는데 다시 풀어주는 프로그램이 있다니 모순적이죠?
그러니까 이것은 정상적인 방법으로 푸는게 아니라 그들만의 어떠한 방법으로 크래킹하는 툴을 만든것입니다.
가장 쉽게 생각해 볼 수 있는 것은 모든 경우의 수를 하나하나 대입해봐서 일치하는 해쉬코드가 나오는 것을 비교하면 되겠네요.
다시 돌아와서 그렇다면 저렇게 저장된 비밀번호를 크래킹 툴을 이용하여 복구화 시켜보겠습니다.
이제부터 저에게 있는 정보는 내 비밀번호는 MD5방식으로 암호화된 308ea76c22706b4499f9a47f9b39ff6c 문자라는 것 하나 뿐입니다.
툴을 실행시키면 이러한 화면이 나오게 됩니다. 찾으실 분은 알아서 찾겠지만 악용의 소지 때문에 프로그램 이름을 숨겼습니다 ^^;
맨 위에 MD5 Hash 란에다가 암호화된 비밀번호를 입력하고 Start 버튼을 누르면
이렇게 프로그램이 알아서 비밀번호를 검색하기 시작합니다.
뉴스에서는 sbs911 이었나요? 하여튼 그런식으로 소문자와 숫자 조합이라서 불과 3초만에 끝났지만
제꺼는 대소문자와 숫자가 모두 포함하는 덕에 시간이 조금 걸리네요
.............................................
.............................................
대문자 까지 모두 다 검사하니까 10분이 지나도 안되길래 포기했습니다.
그래서 다시 소문자로만 바꿔서 "je1ke1" 으로 시도하였습니다.
그래서 암호화된 문자는 5af93e0565a5153558741aaf8110cb82 이네요.
이것을 다시 입력하고 시작버튼을 누른 결과
이렇게 30초만에 제 비밀번호가 풀린 것을 확인할 수 있었습니다.
마지막으로 제 견해는 그래도 대기업인 네이트닷컴 측에서 이미 널리 쓰이고 위와 같은 크래킹툴 까지 존재하는 해쉬 함수인 MD5를 그대로 채용해서 사용했을 거라는 생각은 들지 않습니다. 하지만 글쎄요 워낙 보안에 대한 인식이 낮은게 현재 상황이고 그들이 주장하는 바를 그대로 믿을수 도 없는 상황이라 확신하지는 못하겠네요.
결론으로 들어가자면 실제 이러한 크래킹툴로 비밀번호를 알아내려고 할 경우에 비밀번호 자릿수가 한자리 늘어날때마다 크래킹하는데 소요되는 시간은 천문학적으로 늘어나게 됩니다. ( 복리 이자를 생각하면 쉽나요? )
따라서 뉴스에 나온 3초만에 풀린다. 라는 말은 과장된 말이고 그렇다고 아예 풀리지 않을거란 생각도 하지 않는게 좋습니다. 어찌됐든 만에 하나 그들이 제 비밀번호를 알게 되면 큰일이니까요.
이번 사건으로 보안에 대한 중요성이 더 강화 됐으면 하는 바램이고, 모든 정보가 네트워크로 집중되는 이 시대에 이에 대한 방어책 마련도 더 신경써주었으면 합니다!
결론으로 들어가자면 실제 이러한 크래킹툴로 비밀번호를 알아내려고 할 경우에 비밀번호 자릿수가 한자리 늘어날때마다 크래킹하는데 소요되는 시간은 천문학적으로 늘어나게 됩니다. ( 복리 이자를 생각하면 쉽나요? )
따라서 뉴스에 나온 3초만에 풀린다. 라는 말은 과장된 말이고 그렇다고 아예 풀리지 않을거란 생각도 하지 않는게 좋습니다. 어찌됐든 만에 하나 그들이 제 비밀번호를 알게 되면 큰일이니까요.
이번 사건으로 보안에 대한 중요성이 더 강화 됐으면 하는 바램이고, 모든 정보가 네트워크로 집중되는 이 시대에 이에 대한 방어책 마련도 더 신경써주었으면 합니다!
'생각하기' 카테고리의 다른 글
| 앞으로 기업이 나아가야 할 방향에 대해서 (2) | 2013.08.31 |
|---|---|
| 자기 표현의 수단 (0) | 2012.02.28 |
| 국내 N모 검색 엔진에 대한 생각 (1) | 2011.05.27 |
| SNS의 악영향 (1) | 2011.03.16 |
| 퍼왔음... (0) | 2010.12.24 |