문서의 임의 삭제는 제재 대상으로, 문서를 삭제하려면 삭제 토론을 진행해야 합니다. 문서 보기문서 삭제토론 SK컴즈 개인정보 유출 사건 (문단 편집) === 비밀번호 관련 내용 === 우선 비밀번호는 일단 방송상에 공개된 정보나 여러 정황상으로 네이트가 MD5 해쉬 알고리즘을 쓴 것으로 추정된다. 그런데 MD5는 이미 취약점과 공격법이 발견된 안전하지 못한 해쉬 알고리즘이며 '최신의' 알고리즘이라는 것과는 거리가 멀다. 현재 관련 업계에서는 가장 최신의 SHA 해쉬 알고리즘의 사용을 권장하고 있다. 다만 취약점이 발견되었다고 해도 MD5를 쓰는 경우에는 원래의 비밀번호를 쉽게 알아낼 수 있다는 것은 아니다. 직접 메시지를 역산해서 계산하는 것은 해쉬 알고리즘에서도 가장 어려운 공격에 해당되며 MD5라고 해서 그 정도로까지 뚫린 것은 아니다. 그러나 취약한 알고리즘인 것은 사실이므로 안전하다고도 뚫렸다고도 하기가 다소 애매하다. [[SBS]]에서 SK컴즈가 사용한 것과 동일한 암호화 방법을 적용한 sbs911 암호를 불과 3초만에, 8자 암호의 경우 최장 30분만에 해독하는 장면을 시연하여 논란을 불러왔다. [[http://media.daum.net/digital/internet/view.html?cateid=1048&newsid=20110729223313397&p=etimesi|관련 기사]]. 해쉬 함수의 특성상 주어진 데이터의 해쉬는 누구나 계산할 수 있기 때문에 여섯자리 정도의 비밀번호라면 모든 가능한 비밀번호를 조사하는 것도 불가능은 아니다. 이에 대해 SK컴즈 측에서 밝히기를 비밀번호는 SBS에서 시연한 방식과는 달리 외부에 공개되지 않은 코드를 섞은 상태로 단방향 해쉬 알고리즘을 써서 암호화했다고 밝혔다. 일단 해쉬 알고리즘을 적용했기에 다시 복원하는 것은 불가능하며 해커들이 취할 수 있는 유효한 공격 방법은 무작위 대입법이나 [[사전 공격]]을 통한 암호 탐색이다. 이러한 공격을 하려면 당연히 가능한 암호의 숫자가 적을수록 좋다. 그런데 시스템에서 다른 코드를 섞었다면 키보드로 입력 가능하지 않은 문자가 섞일 수 있으므로 가능한 암호의 숫자가 크게 늘어나게 되어 공격이 그만큼 어려워지게 되는 것이다. SK 컴즈는 그 많은 비밀번호를 모두 해킹하기에는 천문학적 시간이 걸릴 것이라 주장하였다. 더불어 SK컴즈의 보안을 담당하고 있는 안철수연구소 및 다른 보안업계 관계자들도 네이트의 견해에 동의하며 단시간에 모든 비밀번호를 해독하는 것은 불가능할 것이라 밝혔다. [[http://media.daum.net/digital/others/view.html?cateid=100031&newsid=20110729111221453&p=khan|관련 기사]]. 위의 서술은 비밀번호의 저장 방식에 대한 이해가 부족해서 나온 오류이다. 암호를 해싱하기 이전에는 임의의 문자열을 섞는데, 이 문자열을 솔트라고 하고 해싱 알고리즘이 충분히 느리다면 솔트는 유출되어도 지장이 없다(일반적으로 해시된 비밀번호와 같은 곳에 저장한다). 하지만 MD5는 현대의 하드웨어에서는 엄청나게 빠른 속도로 작동되는 알고리즘이며 (적당히 비싼 하드웨어로 초당 3000억번 이상의 대입이 가능), bcrypt에서 하는 식으로 결과를 다시 입력으로 먹이는 루프를 적게는 수천번에서 많게는 수십만번씩 반복한 결과를 저장하는 식으로 일부러 느리게 하지 않는 이상 솔트가 되어있든 안 되어있든 무작위 대입법이나 딕셔너리 공격(아래에서 서술하는 약한 암호에 대한 공격)으로 깨기 쉽다. 물론, 암호 저장 체계에서 가장 취약한 부분은 맞추기 쉬운 비밀번호이다. 비밀번호가 7자 이하라면 그 자체로 맞추기 쉽다(경우의 수가 적어서). 해커들은 이미 털린 암호 데이터베이스에서 꺼내온 수없이 많은 암호들을 이미 가지고 있기 때문에, 그 패턴을 파악해 가장 흔한 암호부터 대입한다. 안전하다고 생각할지 모르겠지만 이미 취약한 암호 리스트에 올라와 있는 경우일 수도 있기 때문에 암호 선정에 주의하자. 아마 가장 먼저 털린 암호들은 가지고 있는 암호들과 똑같거나 유사한 암호였을 확률이 높다.저장 버튼을 클릭하면 당신이 기여한 내용을 CC-BY-NC-SA 2.0 KR으로 배포하고,기여한 문서에 대한 하이퍼링크나 URL을 이용하여 저작자 표시를 하는 것으로 충분하다는 데 동의하는 것입니다.이 동의는 철회할 수 없습니다.캡챠저장미리보기