블리자드가 밝힌 것과 달리 '암호화된 비밀번호' 역시 안전하지 않다는 주장이 제기됐다.
13일(현지시간) 미국 지디넷은 보안전문가인 제레미 스필만이 블로그에 올린 글을 인용, 블리자드가 도난당한 정보 중 일부는 보안원격패스워드(Secure Remote Password, SRP)의 인증기 데이터베이스라며 이는 사용자의 비밀번호를 확인하는데 사용된다고 보도했다.
암호화된 비밀번호는 일반적으로 해시값이라는 정보를 포함하고 있다. 비밀번호를 확인하기 위해서는 실제 서버에 저장된 원래 비밀번호가 아니라 한 단계 암호화된 해시값을 입력한 번호와 비교하게 된다.
마이크 모하임 블리자드 대표는 지난 10일(현지시간) 홈페이지에 암호화된 비밀번호를 사용하며, SRP라는 비밀번호 보호용 프로토콜을 사용하기 때문에 실제 비밀번호를 추출하는 것은 상당히 어려운 작업이라고 밝혔다.
그러나 제레미 스필만의 생각은 다르다. 그는 SRP의 인증기 데이터베이스가 유출됐다는 사실은 사전공격(Dictionary Attack)을 가능케 한다고 주장했다. 사전공격은 사전에 나온 단어와 문자, 숫자 등을 조합해 비밀번호를 알아내는 해킹방법의 하나다.
그는 SRP를 처음으로 고안한 토마스 후의 말을 근거로 삼았다. 토마스 후는 SRP는 기본적으로 사전공격으로부터 안전하지만 만약 인증기의 데이터베이스가 도난당한다면 이 공격의 위협에 노출된다고 말했다.
만약 (블리자드가 도난당한) 비밀번호 인증기와 같은 특정한 정보를 알고 있다면 사전공격을 통해 비밀번호를 알아 낼 수 있다는 설명이다.
블리자드는 또한 보안전문가들의 모임인 SANS의 인터넷 스톰 센터로부터 보안질문을 재설정하지 않았다는 비난을 받았다. SANS의 창립자인 케빈 리스톤은 사용자의 비밀번호를 바꾸는 것만으로는 효과가 없다고 지적했다. 보안질문에 대한 답을 알고 있는 공격자들이 비밀번호를 재설정할 수 있다는 우려 때문이다.
관련기사
- 블리자드 배틀넷 계정 유출...정부 조사 나서2012.08.14
- 블리자드 "계정 유출...韓 피해 미미"2012.08.14
- 블리자드, 한국 포함 이용자정보 유출 파문2012.08.14
- 디아3 불법 유틸 확산?…블리자드 ‘경고장’2012.08.14
외신 블리자드가 사용자들에게 그들의 보안질문과 답변을 바꾸는 방법을 공지할 것이라고 밝혔으나 그때까지 사용자들은 보안위협에 노출될 수밖에 없다고 밝혔다.
아직까지 우리나라에서는 이메일 정보만 유출된 것으로 알려지고 있다. 그러나 보안업계 전문가들은 아직까지 표면적인 사항만 알려진 것이라 추가적인 피해가능성을 주시하고 있다고 말했다.
