(씨넷코리아=권봉석 기자) 중국 완구업체가 가지고 있던 16개 국가의 부모 483만명, 아동 20만명의 개인정보가 11월 중순 유출된 것으로 밝혀졌다. 마더보드가 최근 이와 같이 보도했다.
이런 막대한 개인정보 유출 사건을 일으킨 회사는 홍콩에 본사를 두고 아태지역과 유럽, 북미 등에서 어린이용 장난감과 태블릿을 제조, 판매하는 V테크다. V테크는 27일 보도자료를 통해 “학습용 앱과 게임을 제공하는 자체 앱스토어인 러닝 랏지에 등록된 고객들의 개인정보가 유출되었다”고 밝혔다.
V테크에 따르면 유출된 개인정보는 이름과 이메일 주소, 암호화된 비밀번호, 비밀번호를 잊었을 때 질문과 답변, IP주소와 집주소, 다운로드 내역 등이다. V테크는 “신용카드 정보는 다른 결제대행사를 거쳐 처리되었고 신용카드 정보는 저장하지 않았다. 또 사회보장번호나 신분증 번호, 운전면허증 정보는 포함되지 않았다”고 설명했다.
“비밀번호 암호화 하나 마나”
하지만 마더보드가 ‘내 정보 털렸나?’를 운영하는 보안 전문가인 트로이 헌트의 도움을 받아 유출된 데이터를 확인한 결과 문제는 더 심각하다. 비밀번호를 암호화한 방식이 이미 보안 전문가들 사이에서는 퇴출되어야 할 방식인 MD5였던 것이다.
MD5는 1991년 개발된 128비트 암호화 방식이다. 정확히는 저장된 비밀번호를 다른 값으로 바꾸어 쉽게 알아보지 못하게 한다. 하지만 사람들이 자주 쓸 만한 비밀번호를 MD5로 변환한 다음 비교해 보면 원래 비밀번호를 파악할 수 있어 ‘암호화’라고 부르기도 초라하다.
더 큰 문제는 이미 많은 비밀번호를 MD5로 변환해 놓은 ‘레인보우 테이블’이 인터넷상에 공공연히 돌아다니고 있다는 것이다. 이 데이터를 다운받은 다음 간단한 프로그램으로 비교만 하면 순식간에 원래 비밀번호가 들통난다. 심지어 해커가 V테크 서버에 접근한 방식도 가장 원시적이라 불리는 ‘SQL 인젝션’이다.
뽐뿌 개인정보 유출사건과 판박이
트로이 헌트는 블로그를 통해 “비밀번호는 그냥 MD5로 암호화 과정을 거쳤을 뿐이고 제대로된 암호화나 난수화 과정도 거치지 않았다. 변환된 비밀번호를 가져다 구글에 검색하면 바로 결과값이 뜬다. 뿐만 아니라 개인정보를 주고 받을 때 암호화를 거치지 않아 다른 사람이 바로 엿들을 수 있다”고 설명했다.
심지어 마더보드가 V테크 서버를 해킹한 범인의 제보를 받은 뒤 V테크에 문의하자 V테크는 “우리도 처음 알았다”고 답했다. 그나마 다행인 것은 이 해커가 이렇게 얻은 개인정보로 돈벌이를 할 생각은 없어 보인다는 것이다.
이번 사건은 지난 9월 발생한 뽐뿌 개인정보 유출사건과도 닮은 꼴이다. 당시 뽐뿌가 해킹을 당한 방식 역시 SQL 인젝션이었고, 뽐뿌 역시 비밀번호를 MD5로 단순히 변환만 한 다음 저장했다는 것이 밝혀져 거센 비난을 받았다.