발가벗긴 3500만...'암호화된 비번' 뚫릴까 초긴장

[아시아경제 김효진 기자, 임선태 기자]SK커뮤니케이션즈(이하 SK컴즈 )가 운영하는 네이트·싸이월드로부터 사상 최대 규모의 고객정보가 유출된 가운데 암호화된 비밀번호의 해킹 가능성에 관심이 집중되고 있다.

전문가들은 과거 해킹 사례에 미뤄 이름, 아이디(ID), 전자 메일, 전화번호는 물론 암호화된 주민등록번호까지 이미 공개된 것으로 봐야 한다는 입장이다. 비밀번호 해킹 여부가 추가피해 여부의 열쇠인 셈이다. 비밀번호의 경우 은행 거래 등에서도 같은 비밀번호를 사용하는 사례가 맞아 개인정보 유출은 물론 재산피해마저 우려된다.

보안업계와 SK컴즈 측은 최고 수준의 암호화로 해킹 가능성이 사실상 없다고 밝히고 있다. 하지만 암호화된 주민등록번호가 해킹된 점에 미뤄 암호화된 비밀번호가 해킹당하지 않았다고 장담할 수 없는 상황이다.

29일 보안업계 및 SK컴즈에 따르면 암호화된 비밀번호는 '단방향'의 알고리즘이 적용돼 해킹 가능성이 사실상 제로(0)에 가깝다는 평가다. 단방향 알고리즘이란 비밀번호를 암호화하는 과정에서 애초부터 이를 풀 수 있는 답을 두지 않는 최고 수준의 보안 방법이다.

안철수연구소 관계자는 “다른 고객정보보다 암호화된 비밀번호를 알아내는 것이 해커들에게는 관건일 것”이라며 “하지만 암호화된 비밀번호 해킹은 개인정보보호법 등에서 규정한 암호화 방식에 의거해 사실상 불가능한 작업”이라고 설명했다. 이어 “주민등록번호는 비밀번호와 다른 방식의 암호화 알고리즘이 적용돼 상대적으로 해킹이 쉽고 지난 해킹 사례 등을 비춰볼 때 이미 공개된 것으로 보는 게 맞다”고 전했다.

그는 그러나 “단방향 방식이 적용된 비밀번호는 해커들이 '사전공격(Dictionary Attack)' 방식으로 해킹을 시도할 경우 수년이 걸리겠지만 빠르면 수개월 내에도 해킹에 성공할 수 있다”며 우려를 표명했다. 사전공격이란 사용자 개인정보에 의거, 자주 사용하는 숫자·문자 등의 조합을 만들어가는 것으로 해커들의 전형적 수법이다.

암호화된 비밀번호 해킹 여부는 향후 예상되는 집단소송에서도 관건이 될 전망이다.
옥션 개인정보 유출 집단소송을 대리하고 있는 박진식 변호사는 “현행 규정상 개인정보 유출 소송의 쟁점은 암호화의 범위”라면서 “통상 업체의 책임이행 여부를 가리는 기준은 비밀번호와 주민번호까지 암호화돼 있는지 여부”라고 설명했다. 박 변호사는 이어 “이 부분이 철저하게 관리되고 있었다면 업체의 책임을 묻기가 쉽지 않지만 유출된 정보가 제3자에게 전해졌거나 이렇게 될 가능성이 확인된다면 SK컴즈의 배상책임이 일부 발생할 수도 있다”고 덧붙였다.

김효진 기자 hjn2529@
임선태 기자 neojwalker@