관리 메뉴

미닉스의 작은 이야기들

[웹툰07] 한국식 보안 상황에서 살아남는 법 1/2 본문

IT이야기 시즌2-도난당한 패스워드

[웹툰07] 한국식 보안 상황에서 살아남는 법 1/2

미닉스 김인성 2012.10.07 02:17

추석으로 인해 한 주 늦어졌습니다. 


다음 화는 가능한 빨리 올리도록 하겠습니다.


이 번 화를 그리느라고 수고하신 이상님의 소개 페이지는 여기입니다.



댓글을 통해 활발한 논의가 일어나고 있습니다.


여태까지는 이런 논의가 전문가들끼리의 복잡한 기술적 논쟁으로 변한 탓에 아무도 알아들을 수 없었을 뿐만 아니라 결국에는 말싸움과 감정 대립으로 끝나고는 했습니다.


하지만 이 웹툰으로 그런 상황을 종식시켜 보겠습니다. 이 웹툰을 보고 나면 보안에 대한 지식이 없는 분들도 다양한 논점들을 이해할 수 있을 뿐만 아니라 여러 주장에 대해서도 스스로 비판할 수 있게 될 것입니다.


활발한 논쟁은 좋지만 말꼬리 잡기나 감정 대립은 삼가해 주시기 바랍니다. 또한 잘 알지 못하는 부분에 대해 무리하게 논지를 전개하지 않기를 조언드립니다. 이 웹툰은 댓글에 논의되고 있는 거의 모든 부분을 포괄할 예정이기 때문에 무리한 주장을 한 분들은 완결 후에 스스로 부끄러워 하게 될 가능성이 크기 때문입니다.


김인성.

















나머지는 다음 화에


저작자 표시 비영리 변경 금지
신고
30 Comments
  • 이전 댓글 더보기
  • 프로필사진 Favicon of http://garambit.dam.so BlogIcon 가람빛 2012.10.10 03:48 신고 우와.. 무식한방법이긴 한데 확실하네요
  • 프로필사진 이건 좀... 2012.10.24 14:20 신고 대중에게 알려야 할 정보를 알리겠다는 사명감에 일부 과장이 섞여있는 것 같군요...

    결과도 중요하지만 과정도 중요하지 않나 싶습니다.

    웹툰이라는 일반인에게 접근성이 좋은 매체이기에 일부 과장된 상식이 퍼질까 걱정되는군요.



    경각심을 주어야 한다는 사명감에는 박수를 보냅니다만,

    그러기 위해서 사실을 과장하고 조작한다면 저 치 들과 다를 것이 무엇이겠습니까?
  • 프로필사진 정의사회 2012.10.28 16:02 신고 어려운 개념을 쉽게 접근할 수 있도록 해주신 노고에 깊은 감사를 드립니다. 모든 사람에게 홍보가 되어서 보안 문제로 인한 사건사고나 사회적인 비용이 줄어들었으면 하는 바램입니다.
  • 프로필사진 Favicon of http://pawn.tistory.com BlogIcon Pawn 2012.10.31 16:52 신고 전체적으로 많은 정보를 얻긴 했지만 암호의 길이가 길어질수록 증가하는 시간 복잡도는 O(M^n), M은 알파벳 집합의 크기, 이기 때문에 시간만 있으면 길이가 매우 긴 암호문도 무조건 풀 수 있다는 주장은 거짓에 가깝습니다.
  • 프로필사진 atty 2012.10.31 18:56 신고 md5 사전이 이미 만들어져 있다는건 사실이고 다른 해쉬함수들의 사전도 어느정도 만들어져 있긴 합니다만,
    다소 과장이 심하다는 생각은 드네요.
  • 프로필사진 또나왔네 2012.11.18 01:38 신고 어이 몇몇 댓글러들
    과장은 무슨 과장?
    해커들의 경향을 설명하는건데
    그걸 또 꼬투리 잡고 늘어진다 --

    IT쪽 사람이면 그럴 시간에 사람들에게 보안수칙이나 좀 널리 알려라
  • 프로필사진 꼭댓글다는사람들 2012.11.26 01:39 신고 꼭, 댓글 다시는 분들이 분야에 좀 아시는 분들이 다시네요. 지금 무슨 수학 공식 배웁니까. 경각심을 일깨우려고 하는거지. 담배갑에 암에 걸릴수도 있다는 경고문구 몰라요? 그게 다 암에 걸린다고 써놓은 겁니까. 저에게는 매우 이해하기 쉽고, 충분히 공감갈만한 설명이었습니다. 나머지 추가 정보는 관심을 가지고 추가 공부를하면 알게 되겠죠. 정말 매번 감사드립니다.
  • 프로필사진 Favicon of http://jul.im/WUY BlogIcon 오류 2012.12.02 07:21 신고 으악......

    저 외람된 말씀 정말 죄송합니다만
    PC용 모니터에서는 초당 30프레임이 아니라 60프레임입니다.....30프레임이면 눈 아파서 못 봐요....
    그래서 200만화소 곱하기 30이 아니라 60입니다.

    이거 그냥 넘어갈 수도 있지만 전 상당히 중요하다고 생각해요. 꼭 수정해 주시길....
  • 프로필사진 soyokaze 2013.01.01 23:39 신고 잘못짚으신거같은데 모니터는 60헤르츠이상으로 갱신되지만 그래픽카드에서 처리하는 영상을 모니터가 스케일링해서 출력할 뿐 그래픽카드가 초당 60프레임을 그려내는건 아닙니다
    물론 3d게임에선 모니터 주사율 이상으로 그래픽카드에서 처리하는 양이 커지지만 웹툰 자체의 내용은 예시를 든것뿐이며 문제없습니다
  • 프로필사진 하늘빛 2012.12.04 22:04 신고 이 웹툰에서 20~30자리 문자열에 대한 해시(단방향함수)의 레인보우 테이블이 언젠가 만들어질 것이라고 한 것은 좀 과장된 것이긴 합니다.

    하지만 그런 테이블이 없다고 해서 안심해도 된다는 말은 절대 아닙니다. 현실적으로 유출된 개인정보 테이블에 20~30자리 암호가 섞여 있다는 것은 해커들에게 큰 문제가 되지 않습니다. 대부분의 사용자들은 8~12자리의 짧은 암호를 쓰니까요. 지능적지속위협(APT)처럼 기업이나 요인 대상으로 해킹을 하지 않는 한 해커들의 목적은 대량 데이터를 얻는 데에 있고, 이때 테이블에 몇몇 결손이 생기는 건 문제가 되지 않습니다. 1000만 명 중에 8자리 암호를 쓰는 사람이 1%인 10만 명만 있어도 해커는 결실(?)을 얻는 겁니다.

    솔트값이 있으므로 안심이라고 할 수도 있겠지만, 솔트값이 모든 항목에 대해 같을 경우 단 하나의 항목만을 계산해서 알아낸 후 일괄 적용하면 되므로 없는 것이나 마찬가지로 그냥 뚫리고, 솔트값이 기업의 특정 알고리즘에 의해 생성된 경우 1. 해당 알고리즘이 적용된 솔루션을 해킹하여 통째로 가져가서 알아내거나(개인정보 데이터베이스가 털리는 상황에서 이게 안전하다고 할 수는 없겠죠) 2. 수천~수만 개의 샘플만 먼저 그리드 컴퓨팅으로 브루트포스 공격하여 알아낸 후 알고리즘을 찾아내는 방법이 있으므로 솔트 값은 그저 약간의 위안만 될 뿐입니다.

    사용자 암호가 아닌 주민번호의 경우에는 더 처참합니다. 해시로 암호화하는 건 거의 평문 기록이나 마찬가지죠. 주민번호에 대한 레인보우 테이블은 크게 잡더라도 365(일, 윤년 제외)*100(년)*2(성별코드는 연도에 따라 1이나2, 3이나4로 바로 계산되므로 레인보우 테이블을 2배만 증가시킴)*100000(지역코드 및 개인 코드)*1(맨 뒷자리 검증 코드는 바로 계산되므로 레인보우 테이블을 증가시키지 않음) = 7300000000 (73억) 개 항목만 있으면 끝입니다. 73억 개 주민번호가 평문 아스키로 저장되면 88.3GiB 정도로, sha-1 해시 계산 기준으로 이건 그냥 제 데스크탑 컴퓨터로 계산해도 30분이면 나옵니다.
  • 프로필사진 kldp 2012.12.11 16:52 신고 공인인증서에대한 brute force공격을 시도하는 내용이 있습니다.

    cpu성능을 고려하여 초당 100,000번이상의 대입을 시도한다고 하셨는데, 제 생각엔 불가능한 일인것 같습니다.

    왜냐하면 한번대입할때마다 서버에 로그인을 시도해서 맞는pw인지 틀린pw인지 대입을 해보아야 하기 때문입니다.

    이경우 네트웍전송속도+서버측delay를 고려하면, 한대당 컴퓨터의 성능이 암만 좋아도 초당 10회정도가 되지않을까요?
  • 프로필사진 리눅스사용자 2012.12.12 02:59 신고 로그인할 필요 없이 그냥 자기 컴퓨터에 프로그램 만들어서 무한히 돌리면 됩니다.
  • 프로필사진 kldp 2012.12.12 14:28 신고 리눅스사용자님.말씀이 이해가안되는데...
    로컬컴퓨터만으로도 pw를 알아낼수 있다는 뜻인가요?
    그리고 무한히 돌리는 프로그램, 그 프로그램이 하는일은 먼가요?
  • 프로필사진 리눅스사용자 2012.12.12 15:13 신고 공인인증서를 입수한 상태에서는 그걸로 웹사이트에 접속하지 않고 그냥 자신의 컴퓨터에 암호를 대입하는 프로그램을 만들어서 무한히 돌리면 됩니다. http://blog.kangwoo.kr/49 참 쉽죠~ 잉?
    그리고 시간에 오래 걸리기 때문에 모든 경우의 수를 모두 대입하지는 않고 패스워드 사전이 있습니다. 그 사전을 이용하여 가능성 높은 놈들로 대입을 합니다. 예들 들자면,
    god + 숫자
    love + 숫자
    이름 + 숫자
    한글 --> 영문
    영문 --> 한글
    영문+주민번호
    전화번호+이름
    주민번호+이름
    ....
    이런 문자열들을 먼저 대입하는 거죠.
    뭐...이런 얘기들은 해킹 책에도 나와 있는 일반적인 지식이므로 이런 얘기한다고 해서 문제될 것은 없다고 봅니다.
  • 프로필사진 kldp 2012.12.12 18:07 신고 답변감사합니다. 이제야 이해가되는군요.
    공인인증서가 privatekey파일을 가지고 있군요.
  • 프로필사진 2013.01.01 19:47 신고 여기 보면 관계업체 직원분들이 들락날락 하는게 많이 보이네요

    하여간 그런분들덕에 우리나라 웹은 변하지 못하죠...

    정말 크게 털리기 직전까지 가도 정신못차릴분들일듯...
  • 프로필사진 해커지망생 2013.03.15 14:45 신고 ....IT업계쪽을 지망하고있는 아직 햇병아리 입니다... 웹툰에서 제가 지망하는 분야를 모욕하시는 기분이 들어서....이까지만 보고 접겠습니다.. 그 교수님이 얼마나 대단한지...는 잘 모르겠으나..
    작가님도 IT쪽 지식을 많이 습득하고 계신 중이신것 같으나....
    단언컨대 그 교수님보다 뛰어난 해커들을 수두룩 할것입니다...
    아무래도 제 꿈인 분야를 ... 그렇게 ... 말씀하시니 기분이 안좋네요..
  • 프로필사진 너는it툴노예 2014.01.07 15:32 신고 자신이 속하는 단체의 치부를 외면하며 고치려고안하면 그곳은 이미

    썩은곳입니다 ^_^ 그쪽일을 집어 치우세요

    제 3자가 비난할때 그걸 확인하고 고치지 않는곳은

    사이비 종교단체나 하는짓이 라고 생각합니다
  • 프로필사진 정신차려 2013.03.25 23:41 신고 해커지망생 님께서는 절대로 IT 쪽으로 가시면 안됩니다.
    님같은 분들이 IT계열로 가신가면 비극이 될겁니다.

    적이 공격하는 무기들을 적나라하게 보여주는데도 애써 외면 하시는분이
    IT를 가서 무엇을 하시겠다는 겁니까 ?

    한마디로 돈은 벌고 보안은 무시하겠다는 애기죠 .
    보안을 철저하게 막는다 말하시면 , 님의 행동이 어떠했는지 돌아 보세요.
    지나가는 개도 웃겠 습니다.

    이건 거이 해커강좌를 하는것과 다름없는데... 안보겠다는 분이
    이름은 해커지망생 ??? ㅋㅋㅋㅋㅋㅋ

    IT계열은 해커든 보안이든 웹 디자인이든 처다보지도 마세요.. 가소롭습니다.
  • 프로필사진 gringo 2013.06.22 18:17 신고 경각심을 일깨우려고 그러는거죠. 위에 어느분 담배갑 경고문으로 좋은 비유를 들면서 설명하셨는데요.
    대강 보기에는 그 업계 사람들을 폄하하는 것처럼 보일 수도 있습니다. 하지만 어디 틀린말인가요? 자세한 의견은 사람마다 다를 수도 있지만 적어도 이 블로그에서 제시하는 의견은 상당부분 동의하고 있습니다.
  • 프로필사진 any 2013.09.26 13:07 신고 엄밀히는 해커가 아니라 크래커입니다. 물론 대중적인 인식은 그게 그거거나 크래커라는 용어도 제대로 모르는 경우도 있지만.
  • 프로필사진 Favicon of http://minix.tistory.com BlogIcon 미닉스 김인성 2013.09.26 13:36 신고 크래커라고 한 번 짚고 넘어가긴 했지만 아무래도 대중들이 생소하니까 그렇게 썼습니다.^^
  • 프로필사진 SEDOL GLEE 2013.11.04 23:29 신고 하...가입한 사이트들 목록을 만들어두지 않은게 너무너무너무!!!!후회돼요ㅠㅠ 비번 바꾸거나 탈퇴해야하는데..제 개인정보 어떡하죠..
    그나저나 공인인증서가 표준 보안 방식과 다른 점이 사이트대신 개인이 인증을 받는다는 것이군요! 이전편에서 이 부분이 헷갈렸었네요~
    secondforzzz@gmail.com
  • 프로필사진 국민회의 2014.02.14 00:14 신고 주민등록번호는 해커가 아니라도 동사무소 직원이라면 그 동네 주민들의 주민번호는 털 수 있다.

    참고 - 끝 7자리의 비밀
    1번째 : 성별 구분
    6번째 : 그날 그 동사무소에서 같은 출생신고한 순번
    7번째 : 검증번호

    2,3,4,5번째 : 동사무소의 고유번호.
    참고로 부산은 무조건 10xx, 11xx이다. (09xx, 12xx도 부여되었으나 예비용이다. 그래서 부산이 주민번호 보안에 제일 취약하다. 이게 어떻게 된 일이냐면 1975년 당시 직할시는 부산 뿐이었기 때문이다.)
  • 프로필사진 생각 2014.07.06 21:54 신고 만약 사이트에서 오래걸리는 해시 함수 + 긴 솔트 + 긴 사용자의 비밀번호
    정도만 갖추어지면 다이제스트가 털려도 레인보우 테이블과 무차별대입공격에 어느정도 안전하긴 합니다.

    그래서 이정도로 해놓고 털린곳이면 양호하죠. 그 정도면 앞단에서 DB 털려도 나름 심층보안을 잘 지킨 기업이라 보고 욕 하고 싶지는 않습니다. 하지만, 많은 기업들이 아직도 정신 못차리고 무차별대입공격에 너무 취약한 MD5 같은 것을 (더군다나 MD5는 다른 취약점도 있죠.) 사용하고 있고, 소금도 제대로 치지 않아 레인보우 테이블이나 역 룩업에 걸리죠. (짧은 비밀번호는 어쩔 수 없긴 합니다, 사용자가 워낙 귀찮아 하니 대강 10자이상으로 영문 + 숫자 + 특문 합치라 그러면 헬이죠 -_-;; 그 암호 적어놓고 그게 털려서 해킹당할 수도 있구요.)

    어쨋거나 최소한 털려도 기본은 지키면서 털립시다. 심층 보안, 가벼워 보이지만 진짜 중요한겁니다.
  • 프로필사진 Favicon of http://cheekyangel.tistory.com BlogIcon 건방진천사 2014.08.19 23:06 신고 아 무섭다 ㅠㅠ
  • 프로필사진 BlogIcon N시큐리티 2015.05.02 15:35 신고 레인보우 테이블로 뚫리면 또 새로운 보안 형식을 만드는게 쉽지는 않지만 만들면 되죠.
    나온것처럼 해킹과 보안은 창과 방패니까.
댓글쓰기 폼