알패스 사용자 '초비상'…비밀번호 관리 프로그램 허술한 보안 도마 위

노동균 기자
입력 2017.09.05 17:46 수정 2017.09.06 07:00
이스트소프트의 대표 소프트웨어 '알툴즈' 사이트 가입자 개인정보 13만건 이상이 유출되는 사건이 발생했다. 유출된 개인정보는 13만건쯤이지만, 서비스 특성상 대량의 2차 피해로 이어질 가능성이 높다는 지적이 나온다.

사건의 개요는 이렇다. 이스트소프트는 9월 1일 오후 4시 45분쯤 신원 미상의 해커로부터 회원 개인정보를 볼모로 한 협박성 이메일을 받았다. 해커는 비트코인이나 현금 등 구체적인 액수를 제시하지는 않았으나, 유출한 개인정보 일부를 증거로 제시하며 회사 측에 협상을 요구했다.

회사 측은 해커가 증거로 제시한 개인정보와 내부 고객 데이터베이스(DB)를 대조한 결과 실제 사용자 개인정보와 일치하는 것을 확인하고 2일 방송통신위원회 등 관계 기관에 신고했다.

이스트소프트와 방통위에 따르면, 현재 유출된 것으로 확인된 고객 개인정보는 알툴즈 사이트 아이디와 비밀번호 13만3800건, 알패스 사용자가 등록한 외부 사이트 목록과 아이디, 비밀번호 등이다.

알툴즈 사이트 아이디와 비밀번호 유출도 큰 일이지만, 더 문제가 되는 부분은 알패스 사용자가 등록한 외부 사이트 목록과 아이디·비밀번호 유출 문제다. 알패스는 사용자가 자주 이용하는 웹 사이트 아이디와 비밀번호를 기억했다가 해당 사이트를 다시 방문하면 자동으로 로그인을 수행해주는 비밀번호 관리 프로그램이다.

알툴바에서 알패스를 사용하는 모습. / 이스트소프트 제공
알패스가 기억해둔 웹 사이트 아이디·비밀번호를 호출하는 마스터 키는 사용자가 알툴즈 가입 시 만든 것이다. 알툴바는 웹 브라우저 실행 시 동시에 작동하기 때문에 알툴즈 아이디와 비밀번호만 있으면 알패스에 몇 개의 웹 사이트가 등록돼 있든 로그인에 필요한 아이디와 비밀번호 묶음에 접근할 수 있다.

이러한 이유로 비밀번호 관리 프로그램은 마스터 키 관리도 중요하지만 등록된 웹 사이트 아이디와 비밀번호 묶음을 암호화해 보관하는 것도 중요하다. 유명 비밀번호 관리 프로그램인 '라스트패스'도 2015년 해킹으로 가입자 개인정보 일부를 유출했으나, 등록된 웹 사이트 비밀번호 묶음은 암호화돼 있어 안전하다고 밝혔다. 단, 일부 마스터 키 비밀번호와 같은 비밀번호를 쓰는 웹 사이트의 경우 비밀번호를 바꿀 것을 권장했다.

사용자 컴퓨터와 알패스 서버는 보안 통신 규약(SSL)으로 통신하기 때문에 통신 패킷을 중간에 가로채는 방식으로는 알툴즈 비밀번호를 알아낼 수 없다. 하지만 사용자가 타인에게 비밀번호를 알려주거나 해커가 서버에서 직접 알툴즈 비밀번호를 빼내면 알패스에 등록된 아이디와 비밀번호 묶음까지 고스란히 유출될 수밖에 없다.

이 때문에 대개 보안이 중요시되는 경우에는 암호화는 가능하지만 복호화는 불가능한 '단방향 암호화'를 적용한다. 단방향 암호화를 적용하면 정보가 유출되더라도 원문을 알아볼 수 없게 된다.

하지만 알패스의 경우 암호화된 정보를 복호화할 수 있는 '양방향 암호화' 기술이 적용돼 있어 등록된 웹 사이트 아이디와 비밀번호 묶음까지 유출된 것으로 알려졌다. 만약 알패스 사용자가 100개의 웹 사이트를 등록해뒀다면 각 사이트별 아이디와 비밀번호 100개가 모두 유출된 셈이다.

방통위 개인정보침해조사과 한 관계자는 "웹 사이트 접속 비밀번호가 해커에게 집적 유출돼 2차 피해가 우려된다"며 "유출이 확인된 알패스 사용자가 등록한 웹 사이트에 침해 사실을 통보하고 사용자에게 비밀번호 변경 등을 안내하도록 조치를 취하는 중이다"라고 말했다.

이번 사고는 사용자에 따라 알패스에 등록한 웹 사이트의 수가 천차만별이기 때문에 피해 규모를 정확히 집계하기는 쉽지 않을 전망이다. 알패스 이용자는 알툴즈 홈페이지에서 '개인정보 침해 사실 조회'를 통해 유출 여부를 확인하고, 유출 확인 시 알툴즈 비밀번호는 물론 알패스에 등록한 웹 사이트 비밀번호를 일일히 바꾸는 수고를 감수해야 한다.

T조선 뉴스레터 를 받아보세요! - 구독신청하기
매일 IT조선 뉴스를 받아보세요 닫기