해킹 당했다네요.
-
만약 비번이 1234라면 어떤 방식을 쓰더라도 무차별 대입으로 뚫리는 건 마찬가지입니다. 0.01초만에 뚫리느냐 10분만에 뚫리느냐의 차이일 뿐...
만약 비번이 z@9Q9YVmT%S8V5PBWkWTD@fZrZDWMdV4라면 어떤 방식을 쓰더라도 뚫기 어렵습니다. MD5로 해놓아도 몇억년은 걸릴 듯...
비번 암호화 알고리듬의 차이는 중간 정도의 복잡도를 가진 일반적인 비번에서 가장 크게 느껴지죠. 흔히 보안에 좀 신경쓴다는 일반인들은 8~10자 정도의 영문과 숫자를 섞어쓰잖아요. 이 경우 MD5는 레인보우 테이블을 사용하면 몇 초만에 뚫리고, 레인보우 테이블을 안 쓰고 무차별 대입해도 열흘이면 뚫립니다. 그러나 PBKDF2나 bcrypt는 일단 레인보우 테이블을 무용지물로 만들어 버리고, 무차별 대입에는 10만 배 이상의 시간이 걸리죠. 열흘 × 10만 = 2700년 = 난 이미 이 세상에 없는데 비번 털어서 뭐하게? ㅋ
물론 알고리듬을 바꾼다고 즉시 완벽한 보안을 얻게 되는 건 아닙니다. 얼마전 뉴스에 나왔던 애슐리매디슨은 bcrypt를 사용했는데도 회원 비번이 많이 털렸어요. 그 이유는 bcrypt로 전환하기 전에 사용하던 MD5 방식의 비번이 여전히 많이 남아 있었기 때문입니다. 그래서 애슐리매디슨 측에서는 "우린 bcrypt니까 걱정없다"라고 했지만 실제로는 예전에 가입한 회원들의 비번이 죄다 털렸습니다. XE도 MD5를 벗어난 지 얼마 되지 않아서 여전히 이런 문제가 있을 수 있습니다. 비번 암호화 알고리듬을 변경한 후에는 회원들에게 꼭 한 번씩 로그인해 줄 것을 요청하는 것이 좋습니다. -
?
완벽한 보안은 없다지만...
저렇게 대형 사이트가 뚫릴때마다 무섭긴하네요..
해킹범 반드시 잡길.. -
뽐뿌사용자입니다.
그나마 다행인 건 뽐뿌 계정은 실제 다른 계정과 비밀번호 자체도 다르다는 겁니다..
저 같은 경우 우선순위를 두어 보안에 따른 비번을 다르게 설정 해둡니다.
그래서 가끔 비밀번호를 3번 이상 입력해야 찾을 때도 있어요..-_-/;
그나저나 이번 뽐뿌 사태는 대응이 영 그렇네요. 뽐뿌 해킹 사실이 알려진 건 2일 전 정도 되는데,
운영자 대응은 관련 해킹 글을 삭제하는 데 급급하고 사실을 밝히는 데는 시일이 걸렸네요. -
http://www.ppomppu.co.kr/zboard/admin.php
제로보드 기반 맞습니다.일단 전수 조사를 하긴 했다지만 제로보드 자체가 여간 취약한게 아니라 어떻게 될진 모르겠네요.
예전 제로보드라는 얘기가 도는데... 실제로 게시판 주소도 모두 zboard로 시작하고요. 자체적으로 얼마나 개조했는지는 운영자만 알겠죠.
제로보드의 비번 암호화 알고리듬이 MD5였던가요? 아니면 MySQL의 PASSWORD 함수였나? 기억이 안 나네요. 아무튼 비번까지 모두 복호화(무차별대입공격)당해 버렸다는 점이 이번 사건의 가장 큰 충격이네요.
XE 쓰시는 분들도 이번 기회에 1.8로 업그레이드하고 비번 암호화 알고리듬을 좀더 어려운 것으로 바꾸셨으면 합니다. 여전히 예전 방식으로 사용하는 사이트가 은근히 많더군요.