태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.


옥션 비밀번호, 바꾸려고 해도 못바꾸겠네...
의무적으로 특수문자까지 넣게 하는 것은 오버


옥션 해킹 그 이후...

이미 옥션 해킹에 대해서는 언론을 비롯해서 난리가 났기 때문에 다들 안다. 나는 유출되지 않은 그룹에 속하긴 했지만, 그 이후에 온통 사이트마다 '비밀번호 변경'을 외치는통에 한 번쯤은 비밀번호 변경을 생각할 수 밖에 없었다.

하지만, 비밀번호를 바꾸는 것은 참으로 번거로운 일이다. 특히, 바꾼 비밀번호를 까먹는 수가 생겨서 좀처럼 바꿀 용기는 나지 않는다. (왜 난 자꾸 까먹을까? ^^)

어쨌든, 그래도 큰 마음먹고, 지금에서야 각종 사이트의 암호(비밀번호)를 바꾸기로 했다. 그래서 하나씩 바꾸어가기 시작했는데...


옥션, 너무 오버하는 것 아닌가? - 숫자까지는 이해해도 특수문자까지 의무사항으로?

사용자 삽입 이미지


근데, 아무리 암호를 넣어도 바꿀 수 없다고 나온다.

이거야 원...

자세히 살펴보니... 위와 같이 "영문/숫자/특수문자"를 모두 포함"해야 한다고 한다.

예를 들어서  abcdefg는 택도 없고 abcdefg1 도 안된다는 뜻이다. abcdefg#@도 안되고 abcdefg1$% 정도 되어야 받아준다는 뜻이다. 그리고 반드시 8자 이상이어야 하니, 이거 낭패다.


거기에다 '한 번 사용했던 비밀번호는 재사용이 불가능"하다.

이거 아무리 해킹에 의한 정보누출로 심하게 당했다고 해도, 너무 심한 것 아닌가? 이런 기준으로 암호를 만들려면 결국 자신이 사용하던 것과 다른 것을 만들어야 하고... 결국에는 '까먹는 지름길'이 되고 말 것이다. 이건 좀.. 거기다가 한 번 사용했던 비밀번호는 재사용이 불가능하다면.. 옥션은 예전 비밀번호 리스트를 보유하고 있다는 말이다. 이건 안위험한가? (어차피 암호화 되어서 위험하지 않다면, 지금의 이런 조치는 부당하다.)


조금은 유연한 태도를 보여주길

구글등에 가입할 때, 비밀번호가 너무 쉬우면 가입시켜 주지 않아서 애를 먹었던 기억이 있다. 하지만, 그래도 이렇게까지 숫자와 특수문자를 모두 포함하는 식은 아니었다.

엄격한 비밀번호 규정을 지키는 것은 좋다. 하지만, 그 규정으로 인해서 사용자들이 아주 불편한 정도까지 가서는 안된다. 보안을 철저히 하는 것과 사용자의 암호를 복잡하게 하는 것은 어느정도 연관이 있긴하지만, 너무 편한 방법 아닌가?

사용자의 암호를 잘 보호하는 것이 첫째인데, 그 암호가 누출되었을 때를 대비해서 복잡한 암호를 요구하는 것은 너무 안이한 태도가 아닌가 생각된다. (복잡한 비밀번호를 요구하는 것은 암호화된 비밀번호가 다시 역으로 풀리는 것을 막기 위함이라고 알고 있다.)

사용자의 불편을 담보로 보안에 신경쓰다간, 있는 사용자도 떠날지도 모른다.


2008.6.16
미디어 한글로
media.hangulo.net






제대로 된 링크드인 활용서
LinkedIn 링크드인으로 취업하고 채용하자
정광현 저
예스24 | 애드온2
 
★ 이 글을 트위터에 올려보세요 ☞
글쓴이 한글로

자원봉사자 정보를 보호하라!
태안 기름 제거 자원봉사를 비롯, 각종 자원봉사 사이트의 개인 정보 유출 심각

자원봉사, 그 아름다운 이름.. 하지만...

태안 기름 유출 사건으로 인해서 자원봉사의 물길이 끊이지 않고 있다. 정말로 아름다운 모습이다. 이런 단결력은 2002년 월드컵 응원을 방불케 하는 것이라고 생각한다.

하지만, 자원봉사의 봇물속에 그들을 이용한 얌체 상술이나 사기행각까지 이어지고 있어서 안타까움을 면할 수 없다. 얼마전 있었던 "자원봉사 단체 사칭 사기사건"은 그 좋은 예다. ( 관련기사 : "이래도 됩니까" 태안봉사 이용 사기 [머니투데이] 2007.12.20)

그래서, 자원봉사를 갈때는 주최측의 신뢰도 등을 잘 체크한 후에 가는 것이 필수적이다. 그런데, 이에 상관없이 또다른 문제점이 있다.

사용자 삽입 이미지
▲ 자원봉사자의 마음을 아프게 하는 사건이 벌어지고 있어서 문제다
(사진=한글로)


태안 자원봉사 신청시 개인정보 누출 - 블로그 비밀 댓글이 더 나을 듯

자원봉사를 신청할때 필수적으로 "휴대폰 번호"를 댓글로 달도록 하고 있는 것이 요즘의 추세다. 결국, 이름이나 대화명과 휴대폰 번호가 노출되는 것이다. 왜냐하면, 그 댓글은 누구나 읽을 수 있도록 되어 있기 때문이다. 거기에다 여행자 보험을 위한 주민번호까지 요구하는 경우도 있어서 악용의 소지가 많다. (큰 단체의 경우에는 공개 게시판을 통해서는 전화번호나 주민번호 등을 받지 않는다.)

요즘 안그래도 "검찰청 사칭" 전화와 "국민연금 환급 사기" 전화가 무척 많이 오는데, 이런 정보가 같이 더해지면 더욱 위험한 상황이 된다.

이것은 최근에 나타난 현상이 아니다. 각종 인터넷 카페에서는 정모 등을 할때나 여러가지 공구를 할때 별 생각 없이 "전화번호"를 요구하는데, 이는 위험하기 짝이 없는 행위다.

문제는 인터넷 카페 게시판에 "비밀댓글" 기능이 없다는 점이다. 이에 대해 Daum 측에 문의한 결과 "심각한 문제라는 점에 동의하며 기능 개선에 참고하도록 하겠다"는 의견을 보내왔다.

하지만, 이에는 시간이 걸릴 듯하니 대체 방안이 필요하다.

지금으로서 가장 쉬운 방법은 "카페 게시판" 대신에 "블로그"를 이용해서 신청을 받으면 될 것 같다. 블로그에는 기본적으로 "비밀댓글" 기능이 있으니까, 현재로서는 최고의 선택인 듯 싶다.


이미 오래된 문제인데도 지적 없어 - 각종 자원봉사 요청 정보 사이트의 문제

우리나라 자원봉사를 담당하는 기관은 상당히 복잡하게 많다. 행정자치부, 보건복지부 등을 비롯해서 여러 관계기관들이 얽히고 섥혀 있다. 그리고, 각종 복지 관련 사이트에서도 자원봉사자와 자원봉사를 요청하는 기관을 연결해주는 게시판 등을 운영하고 있다.

그런데, 몇몇 "자원봉사 관련 사이트"에서는 "자원봉사 하고 싶어요" 등의 게시판에서 개인 정보를 아무런 여과없이 노출하고 있다.

즉, 실명과 더불어서 전화번호에 학교까지 모두 상세히 적혀 있다. 이는 봉사 점수를 채우기 위한 학생들의 정보가 많아서 더욱 문제다. 미성년자의 이런 정보는 심각한 문제를 일으킬 수 있다.

이럼에도 불구하고, 정부는 "주민등록번호"에만 단속을 집중하고 있는 듯하다. 적어도 정부가 운영하거나 정부가 지원금을 주는 각종 단체의 자원봉사 사이트에 대한 "자원봉사 신청 정보"에 대한 보안 점검을 실시해야 한다. 그러나, 그 대책이라고 액티브 엑스를 사용한 "키보드 보안"등을 강화하는 어이없는 방법을 제안하면, 안하느니만 못하다.  자원봉사자의 정보는 정보가 정확히 확인된 단체들의 담당자에 한해서만 열람이 가능하도록 한다든지, 직접 연락을 하는 것이 아니고 중간에 공공기관 등이 끼어서 중개하는 방식으로 한다면 쉽게 해결이 될 것 같다. 또한, 복잡한 자원봉사 관리 시스템들을 하나로 통합하는 일도 필요할 듯 하다.

보안은 쉬운 것부터 시작해야

보안이라고 해서 아주 복잡한 해킹에 대비해서 액티브 엑스를 남발하는 것부터 시작하는 것은, 대문 활짝 열어두고서 창문 단속만 신경쓰는 격이다. 대문을 먼저 단속해야 한다. 그리고 대문 단속은 눈에 보이는 것이라 아주 쉽다.

카페에서 "운영진만 볼 수 있는 댓글" 기능 등은 포털 등에서 책임지고 개발해야 할 기능이다. 물론 시스템 부하가 늘어날 수 있지만, 이것은 "모집형 게시판" 등으로 따로 운영하면 가능하지 않을까 싶다.

정부도 하루빨리 각종 봉사활동 사이트에 대한 점검을 통해서 국민의 소중하고, 선의적인 정보가 악용되는 것을 막아야 할 것이다.

그리고 사용자도 자신의 전화번호가 악용될 수 있다는 사실을 늘 염두에 두어야 할 것 같다. 정보가 악용되면 가장 큰 피해를 이는 것은 사용자다. 그리고 그 피해를 보상받을 방법은 언제나 힘들고 어렵다. 조심해서 나쁠 것은 없다.


미디어 한글로
media.hangulo.net
2007.12.31.







제대로 된 링크드인 활용서
LinkedIn 링크드인으로 취업하고 채용하자
정광현 저
예스24 | 애드온2
 
★ 이 글을 트위터에 올려보세요 ☞
글쓴이 한글로

실종아동 사이트 해킹 무방비

2년 가까이 무방비 상태로 운영에 신고 받고도 4일 이상 고치지 않아


* 이 글은 지난 2007년 7월 31일경 "기관의 명예를 훼손했다"는 이유로 "게시물 중단 요청(권리 침해 신고)"을 해서 한 달간 임시 삭제 조치 되었던 글입니다.

하지만, 그 명예를 훼손당했다던 기관은 명예훼손으로 저에게 어떠한 조치도 취하지 않았습니다. 그래서한 달이 지난 시점에 자동으로 되살아났습니다.

이제 이 글은 안전합니다. 같은 글에 대해서는 두 번 중단 요청을 할 수 없기 때문입니다.

하지만, 저는 "국가로부터 위탁 받아, 국가의 일을 하는 기관"이
자신들의 일을 제대로 하지 못함을 꾸짖는 국민에게
명예훼손 운운한다는 사실이 정말 우스울 따름입니다.

실종아동 기관은 즉시, 명예훼손 고소를 하시기 바랍니다.
모든 시민 단체들이 아마 저를 도와주리라 믿습니다.
(이미 도와주겠다고 밝힌 곳도 여럿 있지요)


실종 아동을 제대로 찾자는데,

그에 대해서 토를 다는 것은

누구입니까?


(이 글을 올린 이후로 실종아동 전문기관의 홈페이지는 아무런 공지없이 1주일 가량 다운되어서 썰렁한 첫화면만 보여주었습니다. 그리고 며칠전에도 약 1일간 다운되었지만, 아무 공지가 없었습니다.

국가의 사이트가 이렇게 불안한데, 보건복지부는 무엇을 하고 있을까요?

아하, 실종아동 전문기관에 문의하라구요? ^^

한글로. 2007.8.31



혹시나 해서 점검해보니


이미 앞의 글에서 밝혔듯이, 나는 웹기획자로서 보건복지부가 위탁한 어떤 서비스를 관리하고 있다. 내가 하는 일은 전반적인 웹사이트의 기획, 업무적인 기획 등등 여러가지 일이다. 웹사이트의 보안 테스트나 VISTA 호환성 테스트 등등도 진행한다.

실종아동 전문기관의 사이트 (http://missingchild.or.kr )의 공지사항에는 아래와 같은 내용이 들어있다.

또한, 지속적인 나의 캠페인으로 인해 압박을 받자, 아래와 같은 공지문을 올린다.  (2007.6.4)

ActiveX 설치에 대하여 

실종아동 찾기에 관심 가져 주셔서 감사합니다.

  실종아동전문기관에서는 실종아동 및 장애인의 실종신고접수 자료를 경찰청과 공유하고 있으며, 또한 전국 시설보호 아동 및 장애인 중 보호자가 확인되지 아니한 대상의 신상카드를 접수받아 DB화하여 홈페이지에 공개하고 있습니다.  

  실종아동등의 관련 정보의 보호조치 및 공개,열람에 대한 내용은 “실종아동등의 보호 및 지원에 관한 법”률(‘05. 12. 1시행) 시행령 제4조제1항 규정하고 있는데, 그 내용은 “전문기관의 장은 법 제8조의 규정에 의하여 신상카드를 활용한 데이터베이스를 구축,운영함에 있어서 정보 또는 자료를 안전하게 보호하기 위한 정보복구 체계의 구축 및 외부침입 방지장치의 설치 등 정보 또는 자료보호에 필요한 조치를 하여야 한다”. 라고 규정하고 있습니다.

  이에 따라 우리 기관에서는 내부 주전산 프로그램을 사용하고 있으며 내부전산 프로그램의 데이터를 웹 인터페이스 통해 홈페이지에 구현되고 있습니다.  따라서 구현하는 개발Tool 자체로서 보안등의 사유로 ActiveX 프로그램을 첫 방문 시에 설치하도록 하고 있습니다.

  그러므로 여러분들께서 다소 불편함이 있으시더라도 홈페이지 첫 방문시에만 ActiveX를 설치해 주시면 이후로는 모든 정보를 확인하실 수 있으므로 양해하여 주시기 바랍니다.  

  다시 한번 여러분들의 넓은 이해 부탁드리며, 실종아동에도 많은 관심 부탁드립니다.
 감사합니다.  


즉, 정보보호에 대한 조치를 강구해야 한다고 되어 있다. 덕분에 전혀 보안과 관련없는 리포팅 툴을 설치해 놓는 헤프닝이 몇년째 계속되고 있다. (그 액티브X가 보안과 상관없음은 여러 글을 통해서 밝혔다.)


그래서, 얼마나 제대로 웹사이트를 방어하는가를 알아보기 위해서, 아주 간단한 테스트를 해보았다. 내가 담당하는 시스템의 보안을 점검할 때하는 가장 간단한 테스트로, 상용 웹사이트의 프로그래머라면 당연히 막아야 할 부분이었다.


그런데, 어이없게도 아래와 같은 운영자 모드로 접근이 가능했다. 나는 암호도 모르는데 말이다!


사용자 삽입 이미지


▲ 보안이 전혀 안된 실종아동 전문 웹사이트
http://missingchild.or.kr 의 관리자 화면
(알려준지 나흘이 지나서야 보안을 적용하였음)


실종아동 기관과 보건복지부에 알려도 느릿느릿 나흘 걸려

나는 악의적인 해커가 아니기때문에, 이러한 사실을 실종아동 전문기관에 이메일을 보냈고(2007.7.26. 13:53), 혹시 이메일이 도착하지 않으면 어쩔까싶어서 보건복지부에 민원을 넣어서 알려드렸다. 보건복지부에서는 "조치하겠다"는 답변도 받았다. 이것이 엊그제 저녁의 일이다. (2007.7.26일 저녁)


그렇지만, 오늘(2007.7.30) 아침에도 전혀 조치되어 있지 않았다. 계속해서 관리자 페이지는 열리고 있었다. 그래서 아침에 다시 보건복지부에 "예제 와 정답"도 알려주었다. 하지만.. 그것이 처리된 것은 그로부터도 몇시간이 지난 오후 4시경이다. 진짜 해커가 경고를 했더라도 이렇게 더뎠을까? 자그마치 나흘이 걸렸다. 해커는 아마 기다리다가 지쳤을지도 모르겠다.

이 웹사이트는 이 디자인으로 무려 2년이상을 운영한 곳으로 알고 있는데, 그럼 그동안 누군가가 들어왔을 수도 있지 않은가?

그 기관의 주장대로라면 Active-X로 보안을 했는데 왜 이런일이 일어났을까? 다시 말하거니와 그들이 설치를 강요하는 Active-X는 보안툴이 아닐뿐더러, 보안툴을 아무리 깔아도, 프로그램에서 체크하지 않으면 안되는 부분이기 때문이다.


큰 대문 열어놓고 창문만 닫은데다 해결 의지도 없어


이 경우를 일컬어 "대문을 활짝 열어놓고" 창문을 꼭꼭 닫고, 창문을 열때마다 비밀번호를 눌러야 하는 장치를 닫고서 "우리집은 안전하다"고 하는 격과 같다. 또한, 그러한 사실을 알려주고, 내 전화번호도 남기면서 "문의사항이 있으면 하라"고까지 해주었지만... 역시... 아무런 문의도 오지 않았다. 의지 자체도 없는 것으로 판단할 수 밖에 없다.

그래서 어쩔 수 없이 며칠이 지난 오늘, 다시 직접 해결책까지 알려준 것이다.

그런데, 이게 무척이나 어려운 부분은 아니었다.

프로그래머가 수정해야 할 부분은 단 몇 줄. 그것도 걸리는 시간은 30분을 넘지 않을 간단한 작업이었다. 사실, 이런 기초적인 부분은 당연히 막혀 있어야 하며, 만약 내가 두리뭉실하게 지적을 했다고 하더라도 금방 알아채야 정상이다. 하지만, 이 곳은 그렇지 못했다.

해킹 경고에도 이렇게 느긋한 곳이, 과연 아이들을 찾는데는 얼마나 적극적일까?


이런 기관이 한두개일까?

솔직히, 담당 공무원도 별 관심이 없는 부분인데다가, 위탁 기관의 숫자와 웹사이트의 숫자가 어마어마한 상태이므로 이런 일은 어디나 벌어질 수 있다. 복지부 산하 기관 뿐만 아니라 많은 사이트가 "대문을 활짝 열고" 있는 실정일 것이다.

앞으로 시간이 날때마다 체크를 해서 국가에 알려주겠지만, 누군가가 마음만 먹으면... 어떤 사태가 벌어질지 뻔하다.

국가는 키보드 보안 Active-X를 도입하라고 강요할 뿐이지, 이런 간단한 체크는 하지 않고 있다. 그리고, 위탁운영기관은 그냥 "그들의 문제"라고 치부하고 관심을 끊고 있는 것은 아닌가? 위탁 운영되고 있는 중요한 곳이 얼마나 많은지 아는가?

제발.. 돈이 없어서 못한다는 소리는 하지말자. 앞서 예로 든 기관의 한 해 예산은 자그마치 8억원이다.

국가의 예산이 헛되게 사용되지 않았으면 하는 바램이다.

그리고, 실종아동기관의 각성을 바란다. 만약 이 사태로 키보드 보안등의 Acive-X를 도입하는 식의 이상한 대책을 세운다면... 나는 너무 화가 날 것만 같다.

* 이 글은 실종아동기관이 내가 지적한  보안문제를 수정하였음을 확인하고 올림을 밝혀둔다. 수정 전에 올렸더라면, 마음씨가 좋지 않은 해커들로 인해, 아마 그 홈페이지는 고난을 겪었으리라. (하지만, 2년 이상 그렇게 운영되었다)



세상을 바꾸는 작은 외침
미디어 한글로
media.hangulo.net


2007.7.27.최초 작성.(비공개) 7.30 최종 작성(공개로 전환)

* 이 글은 제 옛날 블로그에 있던 글을 옮겨온 것입니다. (http://blog.daum.net/wwwhangulo/7451854)





제대로 된 링크드인 활용서
LinkedIn 링크드인으로 취업하고 채용하자
정광현 저
예스24 | 애드온2
 
★ 이 글을 트위터에 올려보세요 ☞
글쓴이 한글로
 
 당신의 패스워드는 안전하십니까?
패스워드 암호화 시급하다

며느리도 안가르쳐줘! 하지만 상담원은 다 알고 있다!

요즘 이메일의 재미에 푹 빠진 '아무개'씨는 자신의 계정 패스워드를 아무에게도 알려주지 않는다. 그 누구에게도 알려주지 않았으므로 안전하다고 생각한 '아무개'씨. 하지만, 어느 날... 패스워드를 잠시 잊어버린 그는 그 사이트의 고객상담실에 전화를 해보고는 깜짝 놀라게된다.

    네.. '아무개 회원님이 맞으시네요. 회원님의 패스워드는.. 1234입니다'

아무에게도 안가르쳐준 패스워드를, 상담원들은 손쉽게 알 수 있단 말인가!

아무개씨는 혼란에 빠진다. 저 패스워드로 거의 모든 사이트들을 접속하고 있으며, 심지어 인터넷 뱅킹의 암호도 모두 통일해 놓았으니 말이다.


패스워드는 어떻게 저장되는가?

정답은 '안전이 보장된 큰 포털 사이트와 제로보드 등의 이름난 공개 게시판 시스템, 안전이 보장된 쇼핑몰 등을 제외하고는' "그냥 아무런 대책없이, 내가 입력한 그대로 저장된다"이다.

게시판 시스템으로 간단히 사이트를 운영하는 수많은 곳에서도 사용자의 패스워드는 운영자 권한이면 쉽게 열람이 가능하다. (글쓴이의 경험으로는 윈도우즈쪽의 시스템을 사용하는 웹사이트에서는 대부분 그대로 저장하고 있었다)

'패스워드 찾기' 기능을 사용해서 이메일로 패스워드를 그대로 보내주는 곳은 모두 '암호화'가 안되어 있는 곳이고, 누군가 나쁜 사람이 마음만 먹으면 얼마든지 유출이 가능하다는 뜻이된다. (암호화가 되어 있으면 임시 패스워드를 발급하는 방법으로 알려준다.)

주민등록번호 도용으로 온나라가 떠들썩한게 얼마전이다. 그래서 주민번호에 대한 대책으로 '가상 주민번호'제도를 도입하는 등, 업체 등에서도 신속히 대응하고 있다. (물론, 아직도 첫걸음 수준이지만...)

     [관련기사] 개인정보 노출 걱정 사라진다 (2006년 10월 4일 디지털타임즈)
     http://news.media.daum.net/digital/computer/200610/04/dt/v14246001.html

하지만,  더 중요한 패스워드에 대한 보안에 대해서는 이슈화되지 못하고 있다.

피싱을 아십니까?

개인정보(Private data)를 낚는다(Fishing)는 뜻의 피싱(Phising)은 쉽게 말하면,"가짜 사이트"를 만들어서 사람들의 개인 정보를 빼내는 범죄를 말한다.

즉, daum.net을 치려다가 오타를 내게 되면, 보통은 다른 사이트로 이동해야 하는데,

'다음'과 똑같은 페이지를 디자인해 놓는 방식이다.

접속한 사람은 아무 생각없이 로그인을 하게 되고, 그 정보는 고스란히 피싱 사이트를 만든 시스템에 저장이 된다.

당연히, 그 자료는 악용이 되는데, 최근에는 이메일이나 여러가지 기법을 사용한 피싱 기법이 개발되어 많은 피해자를 낳고 있다.

하지만, 우리가 우려해야 할 것은 피싱만은 아니다. 우리가 무심코 가입하는 수많은 사이트들.. 주민번호를 넣지 앟아서 안심하고 있는 수많은 사이트들 조차도, 가장 중요한 정보인 'ID'와 '패스워드'를 고스란히 가지고 있다는 뜻이다.

물론, 그 많은 사이트들을 모두 '범죄자'로 몰고 갈 생각은 전혀 없다. 단지, 범죄자들이 그 방법을 사용함으로써 선량한 사이트 운영자마저 철퇴를 맞을 수 있다는 뜻이다.


패스워드는 암호화 되어야 한다

말 그대로 '암호'인 패스워드는 암호화 시켜서 저장해야 한다.

'그러면 어떻게 패스워드가 맞는지 검사하느냐?'는 질문이 나올법한데, 이미 유닉스 기반의 운영체제에서 수십년간 사용한 방법이 있다. (유닉스, 리눅스 시스템에서 계정의 암호는 운영자도 알 수 없도록 암호화 되어 있다)

또한, 제로보드 등의 공개 게시판 시스템은 이미 오래전부터 패스워드와 주민번호에 대해서 암호화 기법을 사용하고 있다. (물론, 코드를 수정해서 사용하는 게시판도 있으므로 100% 믿을 수는 없다)

간단히 설명하자면...

단방향 암호화 함수 (이 단어가 학술적이지 않을지는 몰라도 이해에는 큰 도움이 되므로 사용함)란 것을 사용하는데, '1234'를 넣으면 '36ff78fd0cf7ee31'와 같은 고유한 문자열을 결과값으로 내주는 함수다. 물론, 다른 문자열에 대해서는 절대로 같은 문자열이 나오지 않는 함수이다.

이렇게, 사용자가 가입시 1234를 넣더라도 DB에는 36ff78fd0cf7ee31 로 저장을 하고,

나중에 로그인 할때도, 사용자가 입력하는 값을 암호화 함수에 넣은 결과값을 저장된 36ff78fd0cf7ee31와 비교만 하면 된다.

좀 복잡한 것 같지만, 이미 널리 이용되고 있는 방법이며, 리눅스 계열에서는 쉽게 구현이 가능하다. 하지만 윈도우즈 계열에서는 그렇게 널리 사용하지 않은 듯 보이며, 글쓴이의 지식으로는 많은 사이트들이 패스워드 암호화에는 큰 관심을 두고 있지 않다고 알고 있다.


누가 고양이 목에 방울을 달까?


인터넷 서비스 업체와 개발자, 사이트 운영자들이 패스워드 암호화를 자발적으로 도입하고 운영해야 한다.

이때, 정부에서 단방향 암호화 관련 표준 코드들을 제시해 주면 좋다. 물론, 인터넷에는 많이 공개되어 있긴하지만, 이것을 찾고 적용하고 검증하는데는 전문가가 아니라면 좀 시간과 노력이 많이 든다.

하지만, 그러한 대책이 있기 전에 사용자들은 어떻게 해야 하는가?

정기적으로 패스워드를 바꾸라고 다들 권장하지만, 그렇게 하는 사람이 몇이나 될까?

인터넷을 사용하면서 패스워드 자주 바꾸는 것은 정말 귀찮은 일이다.

그래서 차선책으로 내세울 수 있는 것은...

대형 포털등 안심할 수 있다고 판단되는 곳에 사용하는 중요한 패스워드와
남이 알아도 크게 피해가 가지 않는 곳들에 사용하는 덜 중요한 패스워드..
이렇게 두가지를 운영하면 좀 안심이 될 수 있다. (패스워드의 이원화)

그리고 중요한 패스워드는 적어도 6개월에 한 번쯤은 바꾸는 것이
수많은 기술로 구멍이 생기고 있는 현대 인터넷 세상에서 피해를 예방하는 길이다.


세상에 완벽한 방패는 없다

'모순'이라는 말의 어원처럼, 절대로 "모든 것을 막을 수 있는 방패"나 "모든 것을 뚫을 수 있는 창"은 존재하지 않는다. 어떤 보안책이라도 뚫리기 마련이며, 그 뚫린 구멍은 또 막을 수 있다.

위에서 말한 패스워드 암호화 기법을 사용하더라도, 사용자가 사전에 있는 단어들을 기반으로 만든 암호를 사용하거나, 전화번호, 생일 등 연관 가능한 것들로 암호를 만든다면, 부지런한 범죄자들은 반드시 그 구멍을 찾아내고 말것이다.

요즘 세상에 자신의 개인 정보가 하찮다고 느끼는 사람은 없을 것이다. 그렇다면, 그 소중한 재산을 보호하기 위해서 조금 더 조심하고 문단속을 철저히 하자.

- 참고 : 글쓴이는 보안 전문가가 아니므로 위의 내용에 틀린 내용이 다수 포함될 수 있습니다. 틀린 부분을 알려주시면 바로 수정하겠습니다 -





제대로 된 링크드인 활용서
LinkedIn 링크드인으로 취업하고 채용하자
정광현 저
예스24 | 애드온2
 
★ 이 글을 트위터에 올려보세요 ☞
글쓴이 한글로
한글로 정광현을 소개합니다. (2016년 4월 버전)

한글로는... 한글로 정광현 - Android Developer ( Udacity Android Developer Nanodegree 보유 [Google 공인 과정]) - SNS 컨설턴트 - 각종 기업체 특강 / SNS 마케..

중앙선거관리위원회 행사를 다녀와서 (FAIR VOTE 0424)

지난 2013년 4월 3일 저녁에 중앙 선거관리위원회에서 주최한 "SNS 오피니언 리더와 함께하는 공감 & 공유" 행사에 정말 영광스럽게 초대되어 참가했습니다. 이제는 화석이 되어버린 저를 "SNS 오피니언 리더"라고 부르..

이 사진 어느 영화의 사진인가요? - 사진으로 검색하는 구글 [이미지로 검색] 아세요?

가끔씩 이런 질문을 받습니다. "이 사진 어느 영화에 나온 사진인 줄 알아요?" 자, 여러분은 어떻게 답을 하시겠어요? 참고로 저는 그냥 영화는 잘 모르고, 인도 영화는 꽤 압니다만.. 그래도 제가 수만명의 인도 영화배우를 ..

취업, 채용, 경력관리, 사업용 SNS - 링크드인(LinkedIn).. 사용자 2억명 돌파!

링크드인 부사장 Deep Nishar씨 (http://www.linkedin.com/in/deepnishar)에 따르면, 링크드인 사용자가 드디어 2억 명을 넘어섰다고 합니다. (작년 3월에 1억명 돌파... 대단히 빠른 속도..

링크드인(LinkedIn) 사용했더니 구글 취업 문이 활짝!

(이 글의 내용은 "링크드인으로 취업하고 채용하자-구인,구직, 경력관리까지"에 실린 글을 약간 편집한 것입니다) "링크드인으로 취업하고 채용하자" 구입하러 가기 http://www.yes24.com/24/Goods/82068..

LinkedIn 링크드인으로 취업하고 채용하자 - 출간의 말

링크드인으로 취업하고 채용하자 - 구인, 구직, 경력 관리까지 정광현 지음. 성안당. 2012 링크드인(LinkedIn)으로 취업하고 채용하자 저자 정광현 지음 출판사 성안당 | 2012-12-19 출간 카테고리 경제/경영 ..

자료로 살펴본 이자스민 "인종차별" 보도 - KBS,MBC 조작 보도 처벌하라

먼저, 이 글을 읽기 전에 아래의 두 글을 읽고 오시기 바란다. 2012/04/17 - 이자스민 인종차별 글의 실체는? MBC뉴스를 고발한다. 2012/04/17 - 이자스민 인종차별 글의 실체는? - KBS뉴스를 고발한다 그..

이자스민 인종차별 글의 실체는? - KBS뉴스를 고발한다

2012/04/17 - 이자스민 인종차별 글의 실체는? MBC뉴스를 고발한다. 는 읽으셨나요? KBS와 MBC 모두 똑같습니다. 이 글은 머니투데이 2012년 4월 17일자에 두 개의 기사로 실렸습니다. 이자스민 비난 트윗은 ..

이자스민 인종차별 글의 실체는? MBC뉴스를 고발한다.

이자스민 인종차별 글의 실체는? - KBS뉴스를 고발한다 도 읽어주세요. MBC뿐 아니라 KBS도 점령당했습니다. 이 글은 머니투데이 2012년 4월 17일자에 두 개의 기사로 실렸습니다. 이자스민 비난 트윗은 어디에? 트위터..

나경원 후보 "자화자찬" 트위터 사건에 대해.. [한글로의 꼼꼼한 분석]

들어가기 전에... 나경원 ‘자화자찬’ 트위터, 누가 썼을까… [한겨레] 2011.10.17 http://www.hani.co.kr/arti/politics/politics_general/500955.html 좀 우스운 일이 ..