좀 심각한 이야기다. 최근 네이트닷컴에 접속해 본 사용자라면 뭔가 이상하다는 것을 느꼈을 것이다.
우선 지난 며칠 동안의 네이트닷컴의 비밀번호 변경에 관한 절차에 대한 의구심이다. 10일 오전부터 갑자기 네이트닷컴은 비밀번호 변경을 강제적으로 시도했다. 로그인을 시도하는 사용자에게 보여지는 공지문에 [변경하기] 버튼만 있고 [다음에 변경하기] 버튼이 오후에 생겨나는 등 우왕좌왕하고 있는 모습이 보인다.
네이트닷컴·싸이월드 ‘비번’ 안바꾸면 로그인 못한다[파이낸셜뉴스 2008.07.08]
http://www.fnnews.com/view?ra=Sent0901m_View&corp=fnnews&arcid=00000921362797&cDateYear=2008&cDateMonth=07&cDateDay=08
(고침)네이트 `쪽지` 서비스 스파이웨어 감염[이데일리 2008.07.07]
http://www.edaily.co.kr/invest/stock/newsRead.asp?newsid=02079526586472224&sub_cd=DB41&sc=066270&sn=SK%C4%C4%C1%EE&chk=00&curtype=read
국내 메신저 시장 1위 네이트온 역시 로그인 정보에 대한 공지를 강화하고 있다.
정작 문제는 다음의 해킹 의혹 기사 때문이다.
[단독] 中해커, ‘네이트 1200만명 고객DB’ 판매 시도[보안뉴스 2008.07.07]
http://www.boannews.com/media/view.asp?idx=10603&kind=1스
네이트, 해킹의혹 불거지자 ‘비밀번호 변경’에 총력[보안뉴스 2008.07.09]
http://www.boannews.com/media/view.asp?idx=10620&kind=13
여기서 눈여겨봐야 할 점은 다음과 같다.
■ 지난 5월 중국 모 해커가 메신저를 통해 네이트닷컴 회원 1200만명의 개인정보를 판매하겠다는 광고를 냈다는 것.
■ 정리된 DB중 668만명 사용자 정보를 먼저 판매하겠다고 제안한 점.
■ 해당 언론사의 보도에 따르면, 실제 네이트닷컴 회원 정보와 일치한다는 점.
"중국 해커가 보내온 네이트닷컴 DB샘플에는 네이트 사용자 이름과 아이디·패스워드, 주민등록번호, 휴대폰번호, 네이트닷컴 회원가입 일자 등이 포함돼 있었다.
취재과정에서 샘플을 직접 확인해본 결과, 전화번호가 변경된 이용자 이외에는 대부분 샘플 DB에 나와 있는 개인정보와 일치하는 것을 확인할 수 있었다."
■ SK컴즈가 자체 조사에 착수했으나 로그 데이터가 6개월 전 이후 로그만 남아있어 2007년 상황을 분석하기 힘들다는 점.
이 때문인지는 모르겠지만 이미 네이트온 쪽지를 통한 악성코드 유포 및 스팸 시도가 이어지고 있고 무작위 스팸메일이 5월 21일부터 폭발적으로 증가했다. 일부에서는 네이트온 메신저 대화명이 임의로 바뀌거나 직접 대화를 통해 '돈을 보내달라'는 등의 사기가 증가하고 있다.
이상하게도 옥션 해킹 이후 불감증이 증가했는지 언론에서도 별로 주목받지 못하고 있는 상황이 의아스럽기만 하다.
무엇보다 지금 당장 중요한 것은 네이트닷컴에서 얼른 비밀번호를 변경해야 한다는 것이다. 물론 만에 하나 개인정보가 유출된 것이라면 비밀번호를 바꾼다고 해서 주민등록번호와 휴대폰번호 등이 노출돼 있다면 속수무책일 수도 있다. 비밀번호야 나중에 다시 바꿔버리면 그만 아닌가. 더 강력한 만능 공개 패스워드인 주민등록번호가 있으니 말이다.
더욱 께름칙한 것은 네이트측의 설명이다.
이에 대해 네이트측은 “아직 네이트닷컴 DB가 유출됐는지에 대한 정확한 근거가 불확실하다. 실제로 중국에서는 여러 사이트에서 빼온 개인정보를 묶어서 한국 포털 정보라고 속이고 판매하는 경우도 많기 때문에 아직은 좀더 구체적인 조사가 필요하다”며 “신속하게 DB부분을 체크해 유출 사실여부와 만약 유출이 확실하다면 어느 정도까지 유출됐는지 확인한 후 이용자들의 피해가 없도록 조치하겠다”고 밝혔다.
결국 이런 상황에 대해 대다수 이용자들은 어리둥절하게 받아들이고 있을 뿐이다. 왜 비밀번호 변경이 갑작스럽게 더 강화되고 있는지에 대해 아무것도 모르고 있을테니 말이다.
또한 더 심각한 것은 보안뉴스의 두번째 기사에서 "네이트닷컴측이 2005년에 비밀번호 암호화 작업을 했다"면서도 "주민등록번호 뒷자리는 암호화하지 않은 상태"라는 것이다.
만에 하나 주민등록번호 전체가 암호화되지 않은 상태로 유출됐다면 매우 심각하다. 주민등록번호는 네이트닷컴을 포함한 거의 모든 사이트에서 본인인증을 할 수 있는 강력한 수단이기 때문이다.
더 끔찍한 것은 '사적 데이터'다. 네이트닷컴의 로그인 정보는 싸이월드 로그인과 연동돼 있다. 아직까지 이 두 로그인 정보가 연동되고 있는 상태라면 네이트닷컴의 정보보다 더 심각한 개인정보(일촌정보, 비밀일기, 개인 사진)가 유출될 위험이 있는 것이다. 모 인기 아나운서의 싸이월드 사진이 유출된 사건이 아직도 미궁인 점을 감안한다면 싸이월드 로그인 정보의 유출은 매우 심각한 사태를 맞을 수도 있다.
3D 싸이월드 발표로 인해 상한가를 기록중인 SK컴즈의 성실한 공지와 정확한 사고 경위 파악을 주문해야 할 때다.
** 인지 수사를 전문으로 하시는 우리나라 수사기관은 뭐하시나? 중국발 개인정보 해킹에 대해 조사 역량을 집중하기는 커녕 다음 아고라 회원의 개인정보 캐내기에 열중하고 있는 모습이 참 씁쓸한 IT 한국의 현주소를 보여주는 것 같다.
해킹 관련 글 :
2008/05/01 개인정보 유출, 원인은 과도한 실명제?
2008/04/22 해킹한 개인정보가 거래되는 사회
2008/04/18 걱정마세요. 이미 우리 정보는 다 유출돼 있으니
2008/03/06 옥션 해킹 사건 후폭풍, 집단 소송 위기
2008/02/24 해킹한 DB 사겠다는 메일
2008/02/22 개인정보 10만 건 값은 25만원?
2008/02/11 사이버 인질극에 대처하는 우리의 자세