[스크랩]'보아' 미니홈피 어떻게 뚫렸나?

'보아' 미니홈피 어떻게 뚫렸나?

싸이월드 연예인 개인정보 연이어 유출···구조적인 문제 찾아 대책 세워야

K모바일  차정석 기자  jscha@kmobile.co.kr

싸이월드와 같은 개인 커뮤니티의 개인정보가 유명 연예인을 중심으로 잇따라 유출되면서 사회적 파장을 불러일으키고 있어 개인정보 보호에 대한 대책이 시급해 보인다. ▲ 단순 유추로 비밀번호 파악? 현재 해킹 의해 개인정보가 유출된 것으로 알려진 사건에 대해 싸이월드 측은 해킹 프로그램을 이용한 지능적 범죄가 아닌 비밀번호 유추에 의한 범죄로 경찰이 밝혔다고 주장하고 있다. 싸이월드 관계자는 “경찰 측이 가수 보아의 사건 같은 경우 미니홈피를 시스템적으로 해킹한 것이 아닌 유추가 쉬운 번호를 비밀번호로 설정한 것이 원인이 된 범죄로 밝혔다”며 “생년월일이나 전화번호 등 일반에 공개된 정보를 통해 범인이 피해자의 비밀번호를 유추 입력한 것이 성공한 것으로 보여진다”고 말했다. 그러나 경찰 측이 발표한 대로 단순히 유추가 쉬운 비밀번호가 원인이 된 범죄라고 보기에는 무리가 따른다. 싸이월드는 관계자가 언급했듯 다섯 번의 로그인 실패를 거듭하면 나타나는 '부루트포스 어택(bruteforce attack)'과 같은 개인보호 장치가 가동된다. 이 시스템이 가동되면 주어진 임의의 다섯 글자를 수동 입력하게 하는 단계를 거쳐야 하는데 피의자가 불과 다섯 번 만에 비밀번호를 유추해 맞춰내는 것은 사실상 불가능에 가까운 일이다. 또 싸이월드는 쉬운 비밀번호 유출을 막기 위해 아이디와 세 글자 이상 겹치는 비밀번호를 사용할 수 없도록 제한하고 있기 때문에 유추를 통한 비밀번호 접근은 사실상 불가능해 보인다. 정보 유출경로에 대해 서울 양천경찰서 담당 형사는 "피의자가 이메일을 통해 보아의 미니홈피에 있는 비공개의 게시물을 보내 협박했으나 해당 사진을 빼낸 경로에 대해선 밝힐 수 없다"고 말했다. ▲ 이메일이 뚫리면 모두 다 안다. 개인의 비밀 정보가 새나가는 것은 모든 온라인 사이트 서비스의 구조적 문제점에 초점을 둬야 한다. 싸이월드를 비롯한 대부분의 모든 사이트들에는 비밀번호 찾기 서비스가 포함되어 있다. 이메일로 비밀번호 전송받기나, 질문과 답, 휴대폰 인증 등을 통해 잃어버린 비밀번호를 찾을 수 있는데 이런 비밀번호 찾기 서비스가 악용될 소지는 매우 높다. 특히 사생활이 거의 모든 부분에 노출된 ‘공인’의 경우 이러한 방식의 비밀번호 찾기 시스템은 치명적일 수 있다. 또한 싸이월드는 인증에 있어 이메일과 비밀번호를 채택하고 있다. 그리고 그 이메일 주소는 메인 하단 생년월일과 함께 공개된다. 대부분의 사용자들은 한 가지 ID를 여러 사이트에 같이 적용하고 사용하기 때문에 공개가 된 이메일 주소에 접근해 해당 이메일을 노렸을 가능성이 높다. 따라서 비밀번호 찾기 서비스의 구조적 문제점을 먼저 해결해야 할 것으로 보여진다. 하나의 이메일이 비밀번호가 노출되면 자신이 가입한 모든 사이트의 비밀번호가 드러나게 되는 구조로 위 3가지 비밀번호 찾기 방법 중 휴대폰 인증으로 찾는 방법이 현재로써는 가장 안전한 방법이다. 또한 톱스타의 경우는 지금 현재도 일부 P2P를 비롯한 각종 불법 사이트들에선 연예인들부터 일반인들까지 주민등록번호가 버젓이 나돌고 있어 이에 대한 규제도 선행되야 할것으로 보여진다.