전자신문

회원 3500만명의 개인정보가 유출된 네이트닷컴과 싸이월드를 운영하고 있는 SK커뮤니케이션즈(이하 SK컴즈)에 대한 비난이 고조되고 있는 가운데, 네이트가 암호화했다는 비밀번호 정보가 최소 수초에서 최대 수십분 만에 손쉽게 풀릴 수 있다는 사실이 밝혀저 논란이 일고 있다.

SBS등 일부 언론들은 29일 "네이트가 유출된 비밀번호는 암호화돼 있어 안전하다고 입장을 굽히지 않고 있다"며 "그러나 직접 네이트의 암호화 방식대로 영문과 숫자를 조합해 6자리 비밀번호를 만들어 시중에 유통되는 암호해독 프로그램을 이용해 풀어보니 3초도 안돼 화면에 떴다"고 보도했다.

이번에 유출된 정보들은 대부분 ID, 이름, 생일, 이메일, 성별, 혈액형, 주소, 연락처(유선전화, 핸드폰), 암호화 주민번호, 암호화 비밀번호 등 다양하다. 이 중에 암호화된 자료는 주민번호와 비밀번호다.

강은성 SK컴즈 최고보안책임자(CSO)는 기자회견에서 "향후 3년, 5년이 지나 해킹 기술이 발전하면 가능할 수도 있지만, 현재 기술상으로는 이번에 유출된 암호화된 개인정보는 안전하다"고 말했다. 주민번호의 경우 최신 국제표준 암호화 기술인 AES 128비트로 암호화돼 있어 현재 기술 수준에서는 뚫리지 않을 것으로 예상했다. 그러나 실제 실험 결과가 사실이라면 누군가 악의적인 목적으로 암호를 풀려고 한다면 뚤릴 수 있는 셈이다.

김승주 고려대 정보보호대학원 교수는 언론과 인터뷰에서 "네이트의 비밀번호는 지금 즉시 바꿔야 하고, 이와 유사한 비밀번호를 쓰는 다른 사이트 비밀번호도 최대한 빨리 변경해야 한다"고 지적했다.

◆네이트 해킹 확인페이지마저도 보안 불감증 = 일부 전문가들은 네이트가 제공하고 있는 유출 확인 페이지 자체가 보안에 문제가 있지 않냐는 지적을 하고 있다.

29일 업계에 따르면 네이트는 이날 오전부터 전용 페이지를 통해 실명과 주민등록번호만 입력하면 손쉽게 개인정보 유출 여부 및 유출 범위 등을 확인할 수 있는 기능을 마련해 뒀다. 그러나 업계 보안 전문가들은 "네이트가 지금 유출 확인을 목적으로 제공하는 페이지는 HTTP로서 HTTPS(보안전송)도 아니고, 로그인을 수행한 이후 보이는 페이지도 아닌 상황에서 대뜸 HTTP 상태의 페이지에 실명과 주민등록번호를 입력하는 것은 문제가 있다"고 지적했다. 이름과 주민등록번호만 알면 누구나 유출조회가 가능한 셈이다.

입력 정보가 SSL(Secure Socket Layer)로 암호화되어 전송되지 않기 때문에 스니핑(가로채기) 해킹공격 등 문제가 발생할 수 있다. 이에 따라 네이트가 조회 페이지의 보안 기능을 강화하기 전까지는 함부로 해당 페이지에 실명이나 주민번호를 넣은 것은 자제해야 한다는 주장이다.

전자신문미디어 테크트렌드팀 trend@etnews.com

'No.1 IT 포털 ETNEWS'Copyright ⓒ 전자신문 & 전자신문인터넷, 무단전재 및 재배포 금지