번개애비의 라이프스톼일

예고된 해킹 - 뽐뿌 해킹(개인정보유출) 본문

IT

예고된 해킹 - 뽐뿌 해킹(개인정보유출)

번개애비 2015. 9. 15. 23:28




터질것이 터졌다.


지난 11일, 뽐뿌가 해킹으로 인해 회원들의 아이디, 패스워드, 생년월일, 이메일등 모든 회원정보가 유출되었다.

(다행히 가입안함 ㅋㅋㅋ)





뽐뿌는 이미 몇~~~년전에 업데이트가 중단된 제로보드4를 사용하고 있는 국내 몇안되는 홈페이지들중 하나이다.

제로보드4는 2000년대 유행처럼 정말 많은 홈페이지들이 이 웹게시판을 사용했지만,

2009년 제로보드 개발자가 NHN에 흡수(?)하게 되면서 제로보드4는 업데이트가 중단되었다.


제로보드 개발자가 NHN에 흡수되면서 NHN이 내놓은것이 Xpress Engine(XE) 이다.

 그럼에도 불구하고 몇몇 홈페이지들은 아직까지 업데이트가 중단된 제로보드4를 고집해서 사용하고 있다.

(물론 제로보드4의 헛점들을 보완해서 쓰겠지만 창과 방패의 싸움에서는 무조건 방패가 질수 밖에 없다.)

(그것도 혼자서....)









웃긴것은 털린 회원 DB인데, 회원 DB내에 패스워드도 함께 유출이 되었다는 것이다.

대다수 사람들이 사이트마다 같은 패스워드를 사용하는 경우가 많은데, 문제는 이 암호화된 패스워드가 털렸다는 이야기는

다른 사이트의 계정까지도 문제가 발생할 수 있다는 이야기다.

진짜 심각한것은 패스워드를 암호화할때 아무런 문자열추가없이 단순히 암호화를 사용했다는점이다.


상식적으로 업계에서는 패스워드등을 암호화할때, MD5(지금은쓰면욕먹음), SHA-256, SHA-3(512bit) 등을 사용하고 있는데,

단순히 패스워드를 암호화하지 않고, 패스워드에 특정 문자열을 추가하여 암호화하거나 

암호화한 해시문자열에 특정 문자열을 추가하는 것이 상식중에 상식이다.


이렇게 문자열을 추가하는 이유는 암호화된 정보들이 유출되더라도 문자열을 모르고 있으면 복호화가 엉뚱하게 되거나

복호화를 못하는 암호화일경우 엉뚱한 결과값으로 반환되기 때문이다... 

(이 또한 DB와 Source데이터들도 함께 털린다면 아무의미가 없지만...)



부록으로 MD5암호화는 컴퓨터 프로세스의 처리속도향상과 그래픽카드(GPU)를 이용한 복호화프로그램을 통해

무작위대입법(노가다)으로 단 몇분만에 복호화가 가능하기 때문에 쓰면 욕먹는다.





'IT' 카테고리의 다른 글

v3zip - 압축프로그램  (0) 2015.09.29
울타리 3.5(DB포함버전) - 악성코드제거  (0) 2015.09.29
nginx tcp proxy module  (0) 2015.09.29
뽐뿌 - 대체커뮤니티의 필요성.  (2) 2015.09.16
새로운 IT제품에 대한 생각...  (0) 2015.08.29
Comments