참고 게시물: http://youtil.tistory.com/124 (한번 읽어보자)
토렌트 다운의 운영자가 FDISK에게 회원 정보를 팔아먹은 사건이 터졌다.
여기서 아이디@07, 비번@07 이런식으로 회원들 DB를 넘겼다고 했다.
충격적인 부분이다. 비밀번호를 암호화하지 않았던 것이다. << 지금 이 글의 핵심이다!!!
애초에 토렌트 다운의 운영자는 누구라도 아이디와 비밀번호를 '눈으로' 직접 확인할 수 있었다는 말이다.
(지금은 FDISK의 운영자도 볼 수 있을 것이다)
비밀번호를 암호화했다면 DB에 들어가있는 비밀번호 정보가 애초에 인간이 읽을 수도 없고 역변환도 되지 않도록 해시 알고리즘 등으로 변환해서 들어가 있기 마련이다.
그런데 자신의 원래 비밀번호끝에 @07 이런식으로 텍스트가 붙었다는 것은 비번이 텍스트로 그대로 저장되어있었다는 이야기다.
예를 들어 회원가입 시 이렇게 입력했다고 치자:
ID: test
PW: myPassWord
회원 DB를 암호화하는 사이트는 다음과 같이 저장할 것이다:
(예시일 뿐 사이트별로 어떤 방법을 쓰는지는 알 수 없다)
ID: test
PW: 4623336A7094BDB9FD626A7C82A97D811EB7A530
하지만 회원 DB를 암호화하지 않는(토렌트 다운같은) 사이트의 관리자는 그냥 보인다:
ID: test
PW: myPassWord
만약 비밀번호를 암호화해서 저장했다면 어떻게 뒤에 "@07" 같은 텍스트를 붙일 수 있었을까??
애초에 원래 비밀번호를 알 수도 없었을 것이다.
만약 이 글을 보는 지금 동일한 ID를 사용하는 사이트가 있다면 당장 비밀번호를 바꿔라.
토렌트 다운의 운영자 '도너츠'의 변명이 더 기가 막힌다 ^^
개인정보 유출은 절대 발생하지 않았으며 타 사이트로의 가입도 진행되지 않았습니다.이게 개인정보, 그것도 비밀번호 유출이 아니면 무엇인가? 해당 사이트 운영자 도너츠는 지금이라도 경찰에 정보통신법 위반으로 자수하길 바란다.
참고로 어떤 사이트를 가입할 때는 비밀번호를 운영자가 볼 수 있다고 생각하는 것이 안전할 것이다. 사이트별로 비밀번호를 다르게 하고, ID 역시 신뢰할 수 있는 IT 계열 대기업이 아니면 다르게 만들어 쓰기를 권장한다.
반응형
'정보기술(IT)' 카테고리의 다른 글
| veraport.exe, delfino.exe 프로세스 종료되지 않는 문제 해결법 (1) | 2015.09.09 |
|---|---|
| 미스터피자 회원 가입 시 비밀번호가 이메일로 온다 (0) | 2011.10.16 |
| 스타벅스 커피 한 잔에 담기 IT의 미래 (0) | 2010.02.26 |