오늘… 이메일 한통을 받았다. 발신자는 이스트소프트 였다.
무슨 메일이지?? 라는 생각을 하며 메일을 열어본 순간…
또 개인정보유출에 대한 사과와 비밀번호 변경을 요청하는 메일이었다. 정말 지겹도록 개인정보 유출사고는 끊이지 않는다. 혹시 내 정보도? 라는 생각이 들어 알툴즈 홈페이지를 방문하니 다음과 같은 창이 떴다.
한 때…즐겨 사용했던 알집, 알FTP, 알씨 등을 개발해 일반사용자들에게 무료로 배포해 온국민의 유틸리티에 대한 갈증을 해소해 준 꽤나 괜찮은 회사였다. 하지만 어느날인가 “알패스”라는 매우 위험한 툴을 만들어 배포하더니 결국 우려하던 사고가 터진 모양이다.
알패스란?
알패스라는 툴은 다수의 비밀번호를 기억하기 어렵다는 점에 착안해 다수의 웹사이트에 대한 비밀번호를 저장해 두고 해당 사이트에 접속할 때 비밀번호를 자동으로 입력하도록 해주는 매우 편리한 유틸리티 프로그램이다.
생기기는 이렇게 생겼다. (조금 옛날 버전이다.)
즉… 이용자가 등록한 많은 웹사이트의 사이트설명과 URL 그리고 아이디와 비밀번호를 모두 기억하고 있다가 해당 웹사이트의 로인 창이 실행되면 자동으로 ID와 비밀번호를 입력해주는 매우 편리하지만 비밀번호를 어딘가에 복호화 가능한 형태로 저장하고 있는 위험한 유틸리티다. (이 서비스는 지금도 하고 있다.)
“복호화 가능한 형태”라는 것은 일반적인 암호화 기술을 이용해 나중에 암호문 해독에 필요한 비밀키를 갖고 있는 사람이 암호문을 해독해 원문을 알아낼 수 있는 암호알고리즘을 말한다. 예를 들어 암복호화를 위한 암호키가 “1qaz2wsx3edc”라고 가정하고 “My name is taeho.” 라는 원문을 암호화하면 다음과 같이 암호화 된 암호문이 나온다.
“WVDT4UxwSqQ2vaGlgvZ6eXS8nxus5eHngu91Q4hK5Q90ah78kURLdJAg7u8Xxl6D2ryQJbAHGr6Wy7TxJU8O6Q==”
그리고 위의 암호문을 다시 “1qaz2wsx3edc”라는 암호키로 복호화하면 원문인 “My name is taeho.” 가 출력된다. 이러한 암호시스템이 AES-128과 같은 대칭키 암호화 알고리즘이다. 여기에서 테스트해 볼 수 있다.
다만 알패스는 암복호화에 사용되는 랜덤하게 생성한 암호키로 사이트의 비밀번호를 암호화하고 암호키를 다시 이용자의 비밀번호를 이용해 암호화해 암호화된 비밀번호와 함께 데이터베이스에 저장하는 방식으로 불법적인 공격을 통해 비밀번호가 유출되는 것을 막고 있는 것으로 알고 있었다. 즉 이용자의 비밀번호를 모르면 사이트의 비밀번호를 암호화할 때 사용하는 비밀키를 찾을 수 없도록 한 것이다.
이렇듯 암호화를 통해 다수의 사이트에 입력해야하는 비밀번호를 저장하고 관리할 수 있게 해주는 유틸리티가 알패스다. 다만 이렇게 암호화 된 비밀번호는 이용자의 PC에 저장되는 것이 아니라 알패스의 데이터베이스 서버에 일괄 저장된다.
뭔가 비슷한 보안 솔루션들이 떠오른다.
IT 보안 솔루션 중에 이렇게 서버 네트워크 장비에 엔지니어나 운영자가, 개발자가 로그인 할 때 비밀번호를 자동으로 입력해주는 솔루션이 있다. 수십 수백대의 서버를 관리하기 어려운 기업들의 가려운 곳을 긁어주는 솔루션이다.
이런 솔루션들은 모두 비밀번호를 복호화 가능하게 저장한다. 당연히 여러 보안기술들을 적용해 비밀번호의 유출을 차단하고 있다고 도입을 망설이는 관리자들을 설득한다. 하지만 개인적으로 이런 솔루션은 결코 도입해서는 안된다고 생각된다. 기술적인 이유도 있지만 법적인 측면도 있다.
비밀번호의 일방향 암호화 의무
정보통신망법과 개인정보보호법 등의 정보보호관련 법규에서는 비밀번호에 대해서는 일방향 암호화를 의무화하고 있다. 즉 앞에서 설명한 것과 같이 해독 가능한 암호화를 법적으로 금지하고 있는 것이다. 비밀번호를 자동으로 입력해주는 모든 솔루션은 비밀번호를 어떤 방식으로든 복호화 가능한 알고리즘으로 암호화 하고 있다. 이는 법의 위반일 수 있다.
물론 여러 복잡한 방법을 이용해 암호키를 쉽게 알아내지 못하도록 하겠지만 결과적으로는 복호화가 가능한 양방향 암호 알고리즘을 이용해 저장하고 있음에는 변명의 여지가 없다.
알툴즈 개인정보 유출 여부 확인
알툴즈의 공지에는 알패스의 사이트목록과 사이트별 비밀번호의 유출여부를 확인할 수 있도록 하고 있다. 최대 13만명의 개인정보가 유출되었을 가능성이 있다. 물론 비밀번호를 주기적으로 변경했다면 걱정이 없겠지만 주기적으로 변경하는 사람이 알패스를 사용할 이유는 없지 않을까?
나의 경우에는 다행스럽게도 유출되지 않은 케이스에 해당됐다. 알툴즈에 가입했거나 가입한 뒤 알패스에 사이트와 비밀번호를 등록한 경험이 있는 사람이라면 http://www.altools.co.kr 에 방문해서 유출여부를 확인해보기 바란다.