단방향 알고리즘 뚫기 어렵지만 적극적 자세 필요..여타 포털업체·온라인쇼핑몰도 특별점검
[아시아경제 임선태 기자]SK커뮤니케이션즈(이하 SK컴즈)가 운영하는 네이트·싸이월드에서 사상 최대 규모의 고객 정보가 유출된 것으로 확인된 가운데, 함께 유출된 암호화된 비밀번호의 해킹 가능성에 관심이 집중되고 있다. 보안업계와 SK컴즈측은 최고 수준의 암호화로 해킹 가능성이 사실상 어렵다고 밝히고 있지만 개인 피해를 최소화하기 위해서는 해당 서비스 가입자의 비밀번호 변경 등 적극적인 자세가 요구된다는 분석이다. 이에 NHN, 다음커뮤니케이션 등 다른 국내 주요 포털도 특별 안전점검에 나서고 있다.
29일 SK컴즈 및 보안업계에 따르면 유출된 암호화된 비밀번호는 '단방향'의 알고리즘이 적용돼 해킹 가능성이 사실상 제로(0)에 가깝다는 평가다. 단방향 알고리즘이란 비밀번호를 암호화하는 과정에서 애초부터 이를 풀수 있는 답을 두지 않는 최고 수준의 보안 방법을 의미한다.
안철수연구소 관계자는 "다른 고객 정보보다 암호화된 비밀번호를 알아내는 것이 해커들에게는 관건일 것"이라며 "하지만 암호화된 비밀번호 해킹은 개인정보보호법 등에서 규정한 암호화 방식에 의거해 사실상 불가능한 작업"이라고 설명했다.
그는 이어 "단방향 방식이 적용된 비밀번호는 입수한 해커들이 '사전공격(Dictionary Attack)' 방식으로 해킹을 시도하더라도 수개월 내지 수년의 시간이 소요될 것"이라고 전했다. 사전공격이란 사용자들의 개인정보에 의거, 자주 사용하는 숫자·문자 등의 조합을 만들어가는 것으로 해커들의 전형적인 수법이다.
이처럼 암호화된 비밀번호의 해킹 가능성이 낮다는 업계 평가에도 불구하고 방송통신위원회는 만일의 사태에 대비해 비밀번호 변경에 나설 것을 당부하고 있다. 방통위는 "2차, 3차 추가 피해를 방지하기 위해 해당 사이트 뿐만 아니라 동일한 ID와 패스워드를 사용하는 모든 인터넷 사이트의 비밀번호를 변경하는게 좋다"며 사용자들의 적극적인 자세를 요구했다.
비밀번호 이외에 유출된 전자메일을 이용한 스팸메일도 주의 대상이다. 이번 해킹에서 전자메일은 암호화 단계없이 완전히 노출됐을 뿐 아니라 변경도 부담스럽기 때문에 추가 피해를 입을 가능성이 높기 때문이다. 개인 식별이 가능한 이름과 전화번호가 노출된 만큼 보이스피싱에도 주의해야 한다. 전화로 수사기관이나 금융기관을 사칭하는 보이스피싱으로 의심될 경우 해당 금융기관의 ARS 전화를 통해 신고해야 한다.
이에 다른 포털업체와 온라인 쇼핑몰도 예상되는 해킹 공격에 만반의 준비를 하고 있다. 다음커뮤니케이션은 "네이트·싸이월드와 같은 개인정보 유출 가능성을 사전에 차단하고자 특별 안전점검을 시행 중"이라고 밝혔고 NHN도 "외부 공격 등 이상 징후를 재점검했지만 특이 사항을 발견하지 못했다"고 전했다. 온라인 전자상거래의 특성상 개인정보 신뢰가 중요한 옥션·G마켓 등 온라인 쇼핑몰들도 특별 점검과 함께 당분간 모니터링을 강화하기로 했다.
임선태 기자 neojwalker@
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>