얼마전 발생한 옥션(http://www.auction.co.kr) 의 회원정보 대량 해킹사건 이후 회원등록/비번찾기 기능을 갖춘 사이트들에 대해 전체적으로 원격 로봇에 의해 이름/주민번호 대입 공격이 잦아지고 있습니다.

공격자는 이미 확보된 해킹자료에 있는 이름/주민번호 정보를 이용해 비번찾기 서비스에 무작위로 연속 대입을 시도하여 아이디,비번을 알아 내려는 연속 시도를 행하는데, 근 며칠사이에 이런 접속이 엄청나게 증가한 것으로 보아 옥션 해킹과 관련있다라고 보고 있습니다.

이로 인하여 서비스가 불가능할 정도로 시스템이 느려지거나 서버다운 사태까지 발생하고 있는 것으로 알려 지고 있어 서버관리 업체들도 신경을 곤두 세우고 있습니다.

저희 인터넷바다낚시는 1차로 서버 관리부분에서 해팅을 차단하고 있으며, 2차적으로 암호화된 비번 및 주민번호 관리로 방지를 하고 있습니다.

현재 인터넷바다낚시 웹사이트에서 도입, 운영중인 게시판 프로그램은 "테크노트 http://www.technote.co.kr " 사에서 만든 프로그램에으로 회원 비밀번호가 역변환 불가능한 상태로 암호화되어 저장되며 비번 찾기를 한다해도 원래 암호를 추출해 보여 주는게 아니라 회원등록 내용 일부만 추출하여 회원등록한 이메일 주소로 통보하는 방식이기 때문에 암호가 직접 노출 될 가능성은 전혀 없습니다.

비번 찾기 서비스에 이메일, 아이디, 주민번호, 이름을 정확히 넣었다 해도 회원 정보에 등록한 메일로만 회원 등록 정보를 통보하게 되어 있으니 안심해도 됩니다.

그러나 만약 아이디 + 비번 리스트까지 공격자가 대량 확보하고 있는 상황에선 애기가 달라집니다.

이 경우 비번찾기 방식이 아니라 직접 회원로그인을 시도하는 방식으로 무작위 대입을 시도 하게 되므로
2차 해킹 위험성이 상당히 높아 집니다.

짐작컨데, 이름/주민번호를 사용한 비번찾기 대입 방식으로 이미 다량의 아이디/비번을 확보한 단계까지 진행되어 있지 않을까 생각됩니다.

2차 해킹으로 당장 직접적인 해를 끼치는게 아니라 공통 아이디/비번으로 확인된 여러 사이트에서 회원정보를 취합하여 아주 구체적인 신상정보를 완성시키는 것입니다.

아이디/비번/주민번호/계좌번호/계좌비밀번호/전화번호/주소/생년월일 등.... 구체적 신상정보를 조합,
체계화 하여 값비싼 자료로 만들어 내는 것이 공격자의 1차적 목표일 것입니다.


옥션에 회원등록 하신 분은 이번 해킹 사건에 자기 정보가 유출되었는지 꼭 확인하시고, 저희 인터넷바다낚시에서 등록하신 비번도 옥션 같은 타사이트에서 같은 아이디, 비번으로 회원등록한 것이 있으면 만약을 대비해 필히 비번을 변경하시기 바랍니다.
(옥션 4월 17일 공지 참조) http://member.auction.co.kr/announce/default.aspx


[참고]
저희 인터넷바다낚시에서의 비번 분실 조회 방식 설정은 "비밀번호 자동 변경후 비번을 이메일로 통보" 하도록 되어 있습니다.


2008.4.21
인터넷바다낚시 웹관리팀