최근 옥션에서 해킹으로 인해 개인정보 일부가 유출되었다는 기사가 나왔습니다.

옥션에서는 다수 회원의 개인정보와 일부 회원의 환불 정보가 유출되었다고 설명하며,

패스워드의 경우 암호화 되어 안전하다고 설명했습니다. (아래 그림의 붉은 박스)


과연 안전할까? 궁금해 하실 분들을 위해서 웹사이트 제작 경험을 바탕으로 간단한 글을 적어보았습니다.






일반적으로 웹 사이트에서 아이디와 비밀번호는 Database에 저장됩니다.

하지만 이 DB라는 것은 관리자가 열람할 수 있는 정보입니다. (도의적으로는 그러지 않아야겠죠.)


뭐 상용사이트에서 mysql을 쓰고 있지는 않겠지만 오라클이라고 크게 다르지는 않을 것 같습니다.

위 그림은 제가 만든 간단한 사이트의 유저 테이블 정보입니다. (다 제가 그냥 만들어 넣은 거에요 ^^;)

일반적으로 위의 그림에서 passwd를 제외한 나머지 값들처럼, DB에 들어있는 값은 사람이 읽을 수 있는 값입니다.

id도 읽을 수 있는 값이고, 로그인 시간 정보도 마찬가지입니다.

관리자인 저는 raz라는 회원이 2008년 2월 9일에 마지막으로 로그인을 했다는 것을 확인할 수가 있네요.

그렇지만 raz 회원의 비밀번호는? 알 수가 없습니다!

비밀번호를 읽을 수 있는 값으로 만들어 넣으면 관리자가 다 볼 수 있겠죠.

혹은 이번의 옥션과 같은 사태로 개인정보가 유출되면, 비밀번호와 아이디가 함께 유출되겠죠.

보통의 경우 아이디와 비밀번호는 여러 사이트에 통일해서 쓰잖아요? ^^; 따라서 유출되면 매우 곤란합니다.

그래서 관리자는 패스워드를 DB에 보낼 때, 웹에서 암호화하여 보냅니다. 따라서 위처럼 이상하고 긴 값이 저장되어 있는 것입니다.

이럴 경우는 DB에 접근해도, 유저의 패스워드를 알 방법이 없습니다.








아니 그러면 이 사이트가 암호화를 제대로 했는지 아닌지 어떻게 알 수 있는 것인가?


이런 사이트들은 암호화 되어 있지 않을 가능성이 높습니다. 비밀번호를 그냥 보여주면 다 신뢰할 수 없다고 보시면 됩니다. -_-

왜냐하면, 애초에 위의 표의 방식으로 암호화를 하면, 비밀번호를 찾을 방법이 없기 때문입니다.

위의 보호 방식은 복호(암호를 다시 원래의 키로 되돌리는 방법)가 존재하지 않습니다.

(따라서 안전합니다. 위에 있는 값을 가져다 복호 프로그램에 넣었더니 원래 암호가 튀어나온다면, 암호화한 보람이 없겠죠?)

로그인 할 때마다 사용자가 넣는 비밀번호를 매번 암호화 함수를 이용해 암호화 해 보고, 그 결과를

DB에 저장된 값과 같은 지 비교할 뿐이기 때문에, 비밀번호를 다시 되살릴 방법이 없습니다.


따라서 제대로 암호화하여 비밀번호를 저장한 사이트는 다음과 같은 방법을 사용합니다.


이 방법을 사용했다고 다 안전한 것은 아니지만, 적어도 안전한 암호화를 한 경우는 위의 방법 외의 방법으로 비밀번호를 찾을 수가 없습니다.

비밀번호 찾기 힌트를 사용했더니 기존의 비밀번호를 보내주더라? 절대로 암호화 한 것이 아닙니다.

별표로 보여준다고 DB에 암호화 되어 있는 것이 아닙니다. 애초에 비밀번호는 어떤 방법으로든 열람할 수 없어야 합니다.





제가 제안하는 비밀번호 보호 방법은 다음과 같습니다.

대부분의 사이트에서 비밀번호 찾기 방법을 제공하기 때문에,

자주 안 가는 사이트는 아무거나 아주 이상한 비밀번호를 넣고 가입합니다. (매번 다르게 합시다.)

대신 e-mail은 자주 사용하는 곳을 기입합니다.

다음에 기억이 안나면? 그냥 아이디/비밀번호 찾기를 이용합니다. ^^;;;

이 경우에 임시로 발급하는 비밀번호는 랜덤하게 즉시로 생성된 것일 가능성이 높기 때문에,

한 번 쓰고 비밀번호를 다시 변경하면 안전합니다.

고로 이것이 현재 최선입니다.

다만... 이 이메일 비밀번호만은 머릿속에 넣고 잘 지키셔야겠죠 -_-; 자주 바꿔주기도 해야겠구요.

그래도 여러 개 관리하느니 이메일-비밀번호 한 개만 관리하는 게 제일 낫겠죠? ^^;





덧. 옥션의 경우.

회원정보 관리 화면에서 회원 정보를 바꾸면 새로 넣은 비밀번호의 앞 2글자를 보여주네요.

약~간 수상하지만 그 뒤로는 매번 회원 정보를 바꿀 때마다 비밀번호도 같이 변경하게 되어 있습니다. -_-;;;

고로 위의 정보는 DB에 넣기 전에 한 순간만 보여지는 데이터일 가능성이 높겠죠.

고로 안전할 지도 모르고 안전하지 않을 지도 모릅니다만,

저 정도로 고민을 했다면 아마도 안전한 쪽일 거라고 생각합니다. ^^

웹서핑을 하다가 발견한 건데, 분명히 내 블로그에 로그인을 한 상태이고

상대방 블로그도 티스토리인 경우에도 댓글을 작성하려고 보면 로그인이 풀려있는 경우가 있습니다.

주로 들어간 블로그가 2차 주소를 사용할 경우에 댓글에 로그인이 안 된 상태로 나타나더군요.

뭐 그냥 이름쓰고 비밀번호 쓰고 홈페이지 주소를 써도 되지만 귀찮죠.

홈페이지 주소 안 쓰면 댓글 알리미가 동작도 안하고 -_-....

그것이 귀찮은 저같은 사람들은!

그 블로그 주소 옆에 owner를 써주면 로그인이 됩니다.

예를 들어 지금 제 블로그 주소 http://raspuna.lovlog.net에 들어왔는데 로그인이 풀려 있다면

http://raspuna.lovlog.net/owner로 들어오시면 로그인이 유지됩니다.



Evelina 님이 보충해 주셨습니다. 단축키로 Q 버튼을 이용할 수도 있네요 ^^;;

블로그 공백 영역 클릭 후 Q 누르면 되는 군요. 안 된다면 한영 키를 살포시 -_-;;;

요즘은 아무런 인터넷 카페 같은 것에 가입하지 않습니다.

가입되어 있는 것도 있지만 활동도 하지 않죠.

마지막으로 열심히 카페에 가입했던 게 고 3 무렵인 것 같으니까, 어언 5년도 더 된 일이네요.

당시에는 다음 카페가 대세였죠.



그렇지만!!!

네이버의 치명적인 단점!

네이버 카페는 회원 공개 글을 가입하지 않고도 다 볼 수 있다는 거-_-...

솔직히 말하면 '다' 보이는지는 모르겠는데 적어도 다음과 같은 방법을 썼을 때

회원에게만 공개된 글의 본문이 보입니다.

자 다음과 같이 해보죠. 아래 예제는 그냥 아무거나 적당히 골라본 것입니다.

다음 주소의 카페에 가서 다음 글을 찾아봅시다.


클릭하면 다음과 같은 익숙한 화면이 뜨겠지요.


첨에는 저도 많이 낚여서 가입 좀 했습니다. -_-ㅋ

근데 이런 카페의 대부분은 또 가입만으로 안되고, 가입인사를 써야 등급업이 된다는 둥 귀찮게 굴죠. -_-

그러나 네이버의 정책은......

검색창에 원하는 글의 제목을 넣어 봅시다. 키워드만 넣어도 나오지만,

원하는 '그 글'을 찾으려면 제목을 통째로 다 넣는 게 좋죠.

네이버 검색 엔진이 성능이 워낙 좋아야죠 :)


클릭하면!!!



....뭐 이런 식? -_-...

목적이 눈팅이라면 하등 카페가입할 이유가 없...

왜 저런 정책을 취하고 있는지 솔직히 궁금합니다.

그냥 전체 공개된 글만 검색 되도록 해야지 현재 상태라면 네이버 카페 이용자에 대한 기만이 아닐까요?

아니면 저런 정책을 통해 정보의 양을 늘리고, 검색엔진 이용자를 늘리는 것인지도 모르죠




어익후, 다음과 네이버를 비교하고 네이버가 이런 점이 문제입니다 라고 쓰려고 했는데,

다음도 비슷하네요. -_-a;

카페회원에게만 공개된 글 따위를 읽으려고 가입하는 삽질은 원래 할 필요는 없는 거였군요.

저만 모르고 있었나요?


다음의 경우는 관리자 임의로 카페의 글이 검색엔진에 걸리게 할 지 말지를 선택할 수 있는 거였군요.

네이버는 어떤지 모르겠습니다. 이거 실험해 보자고 카페 만들기까지 하기는 좀 그래서...;

혹시 네이버 카페 주인이신 분들 있으면 제보해주세요.