Flipboard 해킹으로 암호, 토큰 유출
관심 있는 뉴스와 소식을 한 군데에 모아서 볼 수 있는 서비스인 플립보드가 해킹 당했다. 세계적으로 인기 있는 사이트이고, 우리 나라 사용자도 꽤 있는 걸로 알고 있다. 해킹은 2차례에 걸쳐 이뤄 졌다. 2018.6.2~2019.3.23일과 2019.4.21~22일에 발생했다. 실제 피해를 입은 계정이 얼마나 되는 지는 밝히지 않았다. 그러나 해킹된 기간이 길기 때문에 많은 계정이 위험에 노출됐을 것이다.
암호(password)는 salted hashing으로 보호된 상태로 유출됐다. 즉 평문(plain text)이 아닌 암호화된 상태이므로 해독(크래킹, cracking)이 쉽지는 않다. 그러나 불가능하지는 않다. 더구나 요즘은 고가의 컴퓨터를 갖추지 않더라도, 아마존 같은 클라우드를 저렴한 비용으로 임대해 사용할 수 있으므로 암호 크래킹은 점점 쉬워지고 있다(관2).
솔트(salt)는 이에 대응하는 수단이다. 각 계정에 고유한 값을 부여해서, 암호 해시에 덧붙이는 것이다(관1).
플립보드의 해시 방법은 2012.3.14일을 기점으로 강력함에 차이가 있다. 그 이전에는 SHA-1 해시 함수를 사용했는데, 이것은 상당히 취약해서 쉽게 깨진다. 그 이후에는 bcrypt 해시 함수를 사용했는데, 이것은 상당히 강력해서 크래킹이 쉽지 않다. 따라서 기준 일 이후에 생성됐거나 암호를 변경한 계정은 비교적 안전하다고 볼 수 있다.
플립보드는 모든 사용자들의 암호를 초기화했다. 따라서 사용자들은 암호를 다시 설정해야 한다. 그리고 플립보드와 동일한 암호를 다른 사이트에도 사용한 경우에는, 그들도 바꾸는 것이 안전하다.
트위터, 페이스북, 구글 계정으로 플립보드에 로그인한 경우에는 영향을 받지 않았다. 이 경우에는 암호가 플립보드에 저장되지 않았고, 플립보드는 해당 토큰들을 교체했기 때문이다. 플립보드의 설명에 따르면, 암호를 재설정할 필요가 없고 이전처럼 그냥 사용하면 된다.
문제는 트위터, 페이스북 등 SNS를 비롯한 제3자 계정(third-party account)을 플립보드에 연결해 놓은 경우이다. 계정 연결을 통해 제3자 계정의 글을 플립보드로 가져올 수 있다. 사용자의 설정에 따라서는, 이들에 댓글을 달거나 공유할 수도 있다. 이런 계정 연결에 사용된 토큰을 해커가 탈취했다면, 연결된 계정의 일부 자료와 프로필에도 접근할 수 있다.
플립보드의 설명에 따르면, 실제 제3자 계정에 접근한 증거는 발견되지 않았다. 기존의 토큰들은 모두 삭제하거나 교체하여 앞으로는 악용될 수 없다. 사용자들은 계정 연결을 다시 해야 한다.
플립보드의 안내 메일은 security-notification@flipboard.com에서 온다. 또한 어떠한 첨부 파일도 사용하지 않으며, 개인 정보를 요구하지도 않는다고 밝혔다. 플립보드 사이트 외의 링크도 포함하지 않는다.
관련 자료
참고 자료
해시된 암호 유출
이 사건으로 일부 사용자의 개인 정보가 유출됐는데, 이름, ID, 암호, 이메일 주소 등이 포함됐다. 주민등록번호 등 공공 ID, 은행 계좌나 신용카드 등 금융 정보는 수집하지 않으므로 이번 사건과는 관계가 없다.암호(password)는 salted hashing으로 보호된 상태로 유출됐다. 즉 평문(plain text)이 아닌 암호화된 상태이므로 해독(크래킹, cracking)이 쉽지는 않다. 그러나 불가능하지는 않다. 더구나 요즘은 고가의 컴퓨터를 갖추지 않더라도, 아마존 같은 클라우드를 저렴한 비용으로 임대해 사용할 수 있으므로 암호 크래킹은 점점 쉬워지고 있다(관2).
솔트(salt)는 이에 대응하는 수단이다. 각 계정에 고유한 값을 부여해서, 암호 해시에 덧붙이는 것이다(관1).
플립보드의 해시 방법은 2012.3.14일을 기점으로 강력함에 차이가 있다. 그 이전에는 SHA-1 해시 함수를 사용했는데, 이것은 상당히 취약해서 쉽게 깨진다. 그 이후에는 bcrypt 해시 함수를 사용했는데, 이것은 상당히 강력해서 크래킹이 쉽지 않다. 따라서 기준 일 이후에 생성됐거나 암호를 변경한 계정은 비교적 안전하다고 볼 수 있다.
플립보드는 모든 사용자들의 암호를 초기화했다. 따라서 사용자들은 암호를 다시 설정해야 한다. 그리고 플립보드와 동일한 암호를 다른 사이트에도 사용한 경우에는, 그들도 바꾸는 것이 안전하다.
디지털 토큰 유출
피해를 키울 수 있는 우려가 있는 부분은 계정 연결에 사용된 Digital Token(자격 증명 파일)도 유출됐다는 것이다.트위터, 페이스북, 구글 계정으로 플립보드에 로그인한 경우에는 영향을 받지 않았다. 이 경우에는 암호가 플립보드에 저장되지 않았고, 플립보드는 해당 토큰들을 교체했기 때문이다. 플립보드의 설명에 따르면, 암호를 재설정할 필요가 없고 이전처럼 그냥 사용하면 된다.
문제는 트위터, 페이스북 등 SNS를 비롯한 제3자 계정(third-party account)을 플립보드에 연결해 놓은 경우이다. 계정 연결을 통해 제3자 계정의 글을 플립보드로 가져올 수 있다. 사용자의 설정에 따라서는, 이들에 댓글을 달거나 공유할 수도 있다. 이런 계정 연결에 사용된 토큰을 해커가 탈취했다면, 연결된 계정의 일부 자료와 프로필에도 접근할 수 있다.
플립보드의 설명에 따르면, 실제 제3자 계정에 접근한 증거는 발견되지 않았다. 기존의 토큰들은 모두 삭제하거나 교체하여 앞으로는 악용될 수 없다. 사용자들은 계정 연결을 다시 해야 한다.
피싱(phishing)에 주의
이런 해킹 사고가 생기면, 해당 사이트를 사칭한 피싱이 발생하곤 한다. 가짜 안내문 등에 주의해야 한다.플립보드의 안내 메일은 security-notification@flipboard.com에서 온다. 또한 어떠한 첨부 파일도 사용하지 않으며, 개인 정보를 요구하지도 않는다고 밝혔다. 플립보드 사이트 외의 링크도 포함하지 않는다.
관련 자료
참고 자료
댓글
댓글 쓰기