2013.10.14

블로그 | 암호화된 신용카드 정보, 얼마나 안전한가?

Tony Bradley | CSO
어도비는 암호화된 신용카드 데이터만 최근 정보가 유출됐다고 주장했지만, 그렇다고 해서 공격자가 반드시 정보에 접근할 수 없을까?

최근 어도비는 제품 소스코드에 노출된 정교한 해킹으로 피해를 입었으며 약 300만 명의 고객 정보가 공격자들에게 넘어갔다고 밝혔다. 어도비는 데이터를 암호화했기 때문에 도난당한 신용카드 데이터에 대한 우려를 잠재우고자 했다. 좋다, 하지만 ‘암호화됐다는 말’과 ‘공격할 수 없다는 말’은 큰 차이가 있다.

당신의 현관문 잠금 기능 같은 암호화를 생각해 보자. 당신은 현관문을 번호키로 잠글 수 있다. af론 간단하고 기본적인 방법인 자물쇠로 잠글 수도 있다. 또한 복잡하고 매우 안전 잠금 장치 또는 표준 잠금 외에 손잡이 돌리는 방식을 포함하는 계층 방어를 사용할 수도 있다.

이들의 같은 점은 기본적으로 암호화에는 맞다. 당신이 뭔가가 ‘암호화’됐다고 말할 수 있지만 시저 암호(Caesar cipher)와 같은 기본 알고리즘을 사용하여 암호화한 것일 뿐이다. 그것은 기술적으로 ‘암호화’됐지만, 시리얼상자에서 다이얼로 비밀 번호를 풀어본 경험이 있는 초등학교 2학년이라면 그것을 깰 수 있을 것이다. 그리고 현관문에 첨단 잠금 장치가 있더라도 현관문 매트 아래 열쇠를 숨겨 놓으면 허사로 돌아가듯이 첨단 암호화 알고리즘은 공격자가 암호화 키에 접근할 수 있다면 무용지물이 될 수 있다.



포브스의 한 기사는 데이터가 암호화됐다 해도 어도비 고객들에게 잠재적인 많은 문제들이 남아있음을 보여주었다. 제대로 된 도구, 기술, 충분한 시간만 주어진다면, 암호를 깰 수 있다. 그것은 어도비 암호화가 얼마나 복잡하며 공격자들이 암호를 깨는 데 얼마나 몰두하느냐에 달려있다.

사실 신용카드 정보만 위험한 것은 아니다. 포브스 기사가 지적했듯이, 암호화되지 않았을 수 있는 고객 계정과 관련된 개인 식별 정보는 매우 많다. 공격자가 이 정보를 이용해 카드 결제를 하지 않을 수도 있지만, 그 공격자는 고객의 신원 정보를 훔칠 수 있고 당신의 명의로 새로운 신용카드를 발급받을 수 있다.

어도비는 일반적으로 견고한 보안 관행을 사용하는 회사다. 필자는 유출된 데이터가 얼마나 암호화됐고 안전한 지에 대한 의심을 어도비에게 전달하는 것이 공평하다고 생각한다. 필자는 풀지 못하는 암호란 없다는 점을 거듭 강조하고 싶을 뿐이다.

*Tony Bradley는 브래들리 스트래티지 그룹의 수석 애널리스트다. ciokr@idg.co.kr



2013.10.14

블로그 | 암호화된 신용카드 정보, 얼마나 안전한가?

Tony Bradley | CSO
어도비는 암호화된 신용카드 데이터만 최근 정보가 유출됐다고 주장했지만, 그렇다고 해서 공격자가 반드시 정보에 접근할 수 없을까?

최근 어도비는 제품 소스코드에 노출된 정교한 해킹으로 피해를 입었으며 약 300만 명의 고객 정보가 공격자들에게 넘어갔다고 밝혔다. 어도비는 데이터를 암호화했기 때문에 도난당한 신용카드 데이터에 대한 우려를 잠재우고자 했다. 좋다, 하지만 ‘암호화됐다는 말’과 ‘공격할 수 없다는 말’은 큰 차이가 있다.

당신의 현관문 잠금 기능 같은 암호화를 생각해 보자. 당신은 현관문을 번호키로 잠글 수 있다. af론 간단하고 기본적인 방법인 자물쇠로 잠글 수도 있다. 또한 복잡하고 매우 안전 잠금 장치 또는 표준 잠금 외에 손잡이 돌리는 방식을 포함하는 계층 방어를 사용할 수도 있다.

이들의 같은 점은 기본적으로 암호화에는 맞다. 당신이 뭔가가 ‘암호화’됐다고 말할 수 있지만 시저 암호(Caesar cipher)와 같은 기본 알고리즘을 사용하여 암호화한 것일 뿐이다. 그것은 기술적으로 ‘암호화’됐지만, 시리얼상자에서 다이얼로 비밀 번호를 풀어본 경험이 있는 초등학교 2학년이라면 그것을 깰 수 있을 것이다. 그리고 현관문에 첨단 잠금 장치가 있더라도 현관문 매트 아래 열쇠를 숨겨 놓으면 허사로 돌아가듯이 첨단 암호화 알고리즘은 공격자가 암호화 키에 접근할 수 있다면 무용지물이 될 수 있다.



포브스의 한 기사는 데이터가 암호화됐다 해도 어도비 고객들에게 잠재적인 많은 문제들이 남아있음을 보여주었다. 제대로 된 도구, 기술, 충분한 시간만 주어진다면, 암호를 깰 수 있다. 그것은 어도비 암호화가 얼마나 복잡하며 공격자들이 암호를 깨는 데 얼마나 몰두하느냐에 달려있다.

사실 신용카드 정보만 위험한 것은 아니다. 포브스 기사가 지적했듯이, 암호화되지 않았을 수 있는 고객 계정과 관련된 개인 식별 정보는 매우 많다. 공격자가 이 정보를 이용해 카드 결제를 하지 않을 수도 있지만, 그 공격자는 고객의 신원 정보를 훔칠 수 있고 당신의 명의로 새로운 신용카드를 발급받을 수 있다.

어도비는 일반적으로 견고한 보안 관행을 사용하는 회사다. 필자는 유출된 데이터가 얼마나 암호화됐고 안전한 지에 대한 의심을 어도비에게 전달하는 것이 공평하다고 생각한다. 필자는 풀지 못하는 암호란 없다는 점을 거듭 강조하고 싶을 뿐이다.

*Tony Bradley는 브래들리 스트래티지 그룹의 수석 애널리스트다. ciokr@idg.co.kr

X