게임 Town of Salem 해킹으로 개인정보 유출

취약한 암호화 해시 함수 사용으로 암호 크랙돼

최근 웹 브라우저에서 바로 실행하는 인기 게임 '타운 오브 살렘'에서 대규모 개인정보 유출 사건이 발생했다. 2018.12.28일 해킹된 데이터베이스 사본이 유포되면서 드러났는데, 게임 서비스 사인 BMG(BlankMediaGames)는 2019.1.3에 악성코드를 제거했다.

제거된 악성코드는 php 파일로, 해커에게 백도어를 열어주는 역할을 하고 있었다. 사실상 서버 전체를 장악당했다고 보면 되겠다.

760만 명 가량의 정보가 유출됐는데, 전체 이용자가 800만 명 정도니까 대부분 털렸다고 할 수 있다. 유출된 정보는 이메일, ID, 해시된 암호, IP 주소, 게임 활동 내역, 일부 결제 정보 등이다. 결제 정보에 대해선 BMG 측은 부인하고 있다. 결제 정보는 제3의 결제 처리 업체가 전담하고 있다는 것이다.

유출된 암호는 쉽게 크랙됐다. 암호 복구 커뮤니티 사이트인 hashes.org는 사건 발생 1주일만에 유출된 암호의 27% 가량을 깨트릴 수 있었다. Town of Salem의 암호는 hash되어 salt 처리됐지만, 취약한 해시 함수인 MD5를 사용했기 때문이다. 따라서 피해자들은 암호를 빨리 바꿔야 한다.

비슷한 시기에 암호 관리 사이트인 Abine Blur에서도 개인정보 유출 사고가 있었다. 그러나 이곳의 암호는 암호화-해시-솔트의 방법을 모두 동원하여 견고하게 관리됐다. 해시 함수도 강력한 bcrypt를 사용했다. 크랙 가능성은 희박하다.


관련 자료

참고 자료
  1. Town of Salem Data Breach Exposes 7.6 Million Gamers' Accounts
  2. 27% of Passwords From Town of Salem Breach Already Cracked 

댓글

이 블로그의 인기 게시물

엑셀 필터 상태에서 복사와 잘라내기

가정에서도 망 분리를 해보자

잉크젯 프린터 전원은 항상 켜 놓아야 좋다