최근 링크드인이 갑자기 사용자들에게 비밀번호를 바꿀 것을 권유하고 나섰다. 최근 해킹을 당한 것도 아닌데 말이다.
과거에 발생했던 사건 때문이었다. 2012년 링크드인 회원 중 약 650만명의 회원정보와 비밀번호 해시값이 유출되는 사건이 발생했다. 알고보니 당시 650만명이 아니라 1억명 이상 사용자ID와 비밀번호 해시값이 유출됐었다는 사실이 최근들어 추가로 확인됐다.
링크드인은 '피스(Peace)'라는 별명을 쓰는 해커가 블랙마켓에 링크드인 사용자 정보를 5비트코인 (약 261만원)에 판매하겠다는 글을 올렸다는 소식을 접한 뒤 이러한 사실을 시인했다.
이 때문에 링크드인은 최근 사용자들에게 비밀번호를 새로 재설정하라는 공지를 보냈다. 2012년 이후 자사 사이트가 추가로 해킹 당했다는 조짐은 발견되지 않았지만, 당시 알려진 것 보다 훨씬 많은 수인 1억명의 정보가 유출됐다는 사실을 인정한 것이다.
비밀번호 해시값은 원래 번호를 암호화한 결과값이다. 해시값이 유출됐다고 해서 바로 그 비밀번호를 알아낼 수 있는 것은 아니다. 암호화된 형태로 저장된 이 값을 원래 비밀번호로 되돌리는 작업이 필요하기 때문이다.
문제는 2012년 당시 링크드인이 비밀번호 해시값을 만드는 방법이 해커들이 쉽게 해독할 수 있었다는 점이다. 이 회사는 비밀번호들을 솔트 처리를 하지 않은(unsalted) SHA-1 암호화 알고리즘을 사용해 만든 해시값으로 저장해왔다. 외신에 따르면 해커들은 '레인보우 테이블(rainbow tables)'이라는 툴을 써서 유출된 해시값으로부터 수십만개 원래 비밀번호를 알아내는데 성공했다.
관련기사
- 美 링크드인, 대학 졸업생 위한 일자리 추천 앱 출시2016.05.20
- 링크드인 CEO의 ‘쓸데없는 회의’ 바꾸는 비결2016.05.20
- 링크드인 “2분기 실적, 예상치 밑돌 것”2016.05.20
- 오라클, 소셜 플랫폼에서 링크드인 지원2016.05.20
그 후 링크드인은 사용자들의 계정을 더욱 안전하게 관리하기 위해 암호화를 강화하고 ID, 비밀번호와 함께 추가인증수단을 요구하는 이중 인증을 도입했다. 이와 함께 자사 데이터베이스 안에 있는 모든 비밀번호를 '솔트(salted)' 처리 했다. 솔트 처리는 비밀번호를 암호화 하는 과정을 좀 더 복잡하게 만들어 공격자들이 풀어내지 못하도록 하는 방법 중 하나다.
외신은 링크드인에서 사용했던 비밀번호를 바꾸고, 다른 사이트에서도 링크드인과 같은 아이디와 비밀번호를 쓰고 있다면 모두 변경하는 것을 권고했다.