레이니아

며칠 전 꽤 재미있는 메일을 받은 적이 있습니다. 아니 사실 앞으로 영영 못 봤을 메일이긴 한데, 저한테 급한 요청하신 분께서 메일을 보내주신다더니 갑자기 10시간 넘게 잠수를 타셨더라구요. 그래서 제가 '메일을 보냈는데 스팸에 빠져서 못 봤나?!' 싶어서 스팸함을 뒤지다 찾은 메일입니다.


일단 메일은 안 보내셨더라고요. 그러다가 스팸함에 굴러다니는 Your Secret Life는 도발적인 제목의 메일이 눈에 띄었는데, 무슨 내용인가 싶어서 열어 봤습니다.



|어디서 가당찮은 소리를...


중요한 내용은 가려뒀습니다. 크게 보시면 내용은 읽어보실 수 있겠죠? 너의 계정을 해킹했고, 그 증거로 너의 비밀번호를 평문으로 보냈다. 너의 개인적인 데이터와 야한 영상 보면서 한 행위를 촬영해뒀으니, $800을 비트코인으로 48시간 안에 보내지 않으면 친구에게 유포하겠다.


그런데, 패스워드가 실제로 제가 쓰는 패스워드 중 하나더라고요?




저는 패스워드 관리 프로그램으로 Dashlane과 1Password를 활용하고 있습니다. 그래서 모든 사이트의 비밀번호가 다릅니다. 그리고 다시 말해, 사이트의 비밀번호를 찾으면 어떤 사이트의 비밀번호인지도 알 수 있습니다. 그래서 찾은 건 한 회사의 사이트. 그래서 (1) 제가 이쪽 비밀번호를 입력하는 곳이 보안성 문제가 있던 곳이라 중간에 사고가 있었다. (2) 혹은 사이트에서 비밀번호가 새어 나갔다. 정도를 고민해보게 됐습니다.


제가 여기서 할 수 있는 일이 뭐가 있겠습니까. 사이트 관리자에게 문의를 보내서 이런 이슈가 있으니 확인해라. 그리고 경찰청 사이버안전국에 사이버범죄 상담 정도를 넣어뒀습니다. 저는 피해사실이 없지만, 만에 하나 생길 피해를 줄이기 위해 조금 예민해져도 된다고 생각했습니다. 주변에서 경찰에 신고를 조언하기도 했고요.


모든 사이트 비밀번호를 같게 쓰시는 분이라면 아마 덜컥 놀라셨으리라 생각합니다. 추가 유출의 피해가 있을 수도 있고요. 그러니 모든 사이트마다 비밀번호를 다르게 설정하셔야 합니다. 비밀번호와 관련해서는 예전에 써둔 글이 있으니 확인해보시기 바랍니다.


이런 메일을 보내는 애들은 앞으로 컴퓨터 못하게 양팔을 불로 그슬려야 한다고 생각합니다. 얼마나 조악한 메일인가요. 제가 이 이메일을 언제 읽을 줄 알고. 제가 읽었을 때가 이미 보낸 지 48시간이 지났을 때네요. 저야 특정 사이트를 탈퇴하면서 마무리했지만, 비슷한 메일 받으시고 괜히 피싱 피해받지 않도록 유의하시기 바랍니다.


결론만 정리하면 이렇습니다.


1. 이 이메일은 피싱 메일입니다. 여러분은 해킹당하지 않았으니 안심하면 됩니다.

2. 이런 일이 생기지 않도록 비밀번호 관리는 철저히 해주세요.

3. 만에 하나 걱정이 되신다면 백신 프로그램으로 컴퓨터를 점검해주시고, 안전한 사이트를 이용하세요.



추가 내용

홈페이지에서 답변이 와서 핵심만 추려 드립니다. 결론은 자체 시스템이 잘 정비돼 있으니 홈페이지 쪽의 문제일 리는 없다는 내용입니다.

이렇게 메일을 주고 받는 과정에서 담당자가 보인 태도는 역시 제가 괜한짓을 했구나...하는 생각이 들었습니다. 괜한 오지랖을 부린 거죠 뭐.

홈페이지의 암호 저장방법은 256bit인 단방향 sha-256 알고리즘을 사용하고 있습니다. 홈페이지 계정 관련 프로그램중에 이 암호를 복호화 하는 로직은 전혀 없습니다. 단순히 사용자에게 입력된 암호 문자열을 sha-256으로 암호화 하여 db에 들어 있는 암호화 되어 있는 패스워드 문자열과 대조하는 과정만 거치게 됩니다. sha-256 알고리즘은 seed값이나 기타 설정된 값을 모른다면 거의 복구 불가능한걸로 알고 있습니다.

그리고, 워드프레스 사이트이긴하지만 암호화 로직은 기존 phpass방식을 커스텀으로 기존 워드프레스 암호화 로직을 우회하여 sha-256으로 사용하고 있습니다.