상세 컨텐츠

본문 제목

[알툴바] 알패스 데이터는 보안에 취약하고 이스트소프트 서버에 저장되기 때문에 위험하다??

STORY

by ESTsoft 2012. 1. 4. 10:30

본문


"'알툴바'의 알패스기능은 이스트소프트 서버에 저장되기 때문에 해킹당하면 위험하다. 다 털린다!!"


"알패스 데이터는 특히 PC에 저장할 때 제대로 암호화 하지 않는다."


'이스트소프트 서버에 저장된 알패스 데이터가 해킹에 의해 탈취 된 상황'이라고 가정해보려고 합니다.



알패스는 사용자의 알패스 데이터를 개인별로 다르게 무작위 생성된 문자열로 암호화 하여 DB에 저장합니다. 그리고 이때 무작위로 생성된 문자열은 사용자의 비밀번호로 암호화하여 DB에 저장합니다. 사용자의 비밀번호는 일치 여부만 확인할 수 있도록 Checksum 값만 저장하며 이 값은 복호화가 불가능합니다. (*복호화가 가능한 형태나 원형 그대로 서버에 저장하지 않습니다.)


따라서 만에 하나 사용자의 알패스 DB가 해킹에 의해 유출되더라도, 해커가 회원의 비밀번호를 알 수 있는 방법이 없으므로 알패스 데이터를 암호화 할 때 사용한 무작위 문자열도 알아낼 수 없고 알패스 데이터를 복호화 하는 것도 불가능 합니다.


(단, Brute force 기법처럼 가능한 경우의 수를 대입하는 방법을 사용한다면 비번을 알아내는 것이 가능한데 그런 방법은 시간이 매우 오래 걸리기 때문에 - 정말 엄청나게 걸립니다. 수십수백년 정도...;;; - 실질적인 위협을 주진 않습니다.)


추가로 암호화에 사용되는 암호화 알고리즘은 보안수준이 매우 높은 AES256 과 SHA256 을 사용하고 있습니다. 서버에 저장하거나 데이터 캐쉬파일을 PC에 저장할 때 모두 AES256 암호화 방식으로 암호화합니다. 

관련글 더보기

댓글 영역