[취재파일] 3초만에 풀리는 암호기술을 믿으라고?

은행이 금고를 통째로 도둑맞았다. 신출 귀몰한 도둑은 금고를 어떻게 털어갔는지 아직 알 수도 없다. 사람들이 항의하자 은행은 이렇게 말한다. "도둑맞기는 했지만, 금고가 국제적인 수준의 기술로 만든 최신형이어서 도둑이 그걸 열 수 없으니 안심하세요."

최근 벌어진 사상 초유의 네이트, 싸이월드 해킹 사태를 보면서 드는 생각이다. 인터넷을 사용하는 국민의 대부분이라 할 수 있는 3천5백만 명의 개인정보를 해킹당한 SK커뮤니케이션즈의 해명은 이렇게 황당하다. 비밀번호는 암호화돼 있어 해커가 훔쳐갔어도 해독할 수 없단다.

규제기관인 방송통신위원회조차 이 말을 철석같이 믿었나 보다. 사건 발생 직후, 방통위가 연 긴급 브리핑에서 관료들조차 "주민등록번호, 비밀번호는 암호화돼 있어 안전하다"는 말을 앵무새처럼 반복했다. 방통위가 걱정하는 것은 암호화되지 않은 채 해킹된 이름과 전화번호, 이메일 주소뿐이었다. 그래서 발생할지도 모르는 보이스피싱, 메신저피싱 등이 제일 걱정된단다. 그러다 보니 비밀번호를 즉시 바꾸라는 말은 우선순위에서 밀려, 한참이나 나중에 나왔다.

"실제로 비밀번호 풀어보니..."

그래서 SK컴즈가 최신 기술이라고 자랑하는 암호화 기술을 직접 확인해봤다. 국내에서 암호 기술과 관련해서는 최고 권위자 중의 한 명인 고려대 정보보호대학원의 김승주 교수의 자문을 받아 같은 기술로 암호화한 비밀번호를 풀어내는 것을 시연할 수 있었다.

슈퍼컴퓨터 따위를 동원하지도 않았다. 시중에서 구할 수 있는 컴퓨터를 이용했을 뿐인데도, 영문 3글자, 숫자 3글자의 암호를 만들어 넣고, 다시 풀어봤더니 3초도 안 돼 똑같은 결과가 나왔다. 영문과 숫자를 섞어 넣은 8자리 비밀번호도 30분이면 해독할 수 있었다. "안심하라"고 강조하던 SK컴즈의 설명은 도저히 신뢰할 수가 없다는 게 확인되는 순간이었다.

그래서 첫 보도인 '3초 만에 풀리는 암호'가 나갔다. 시청자들의 반응도 뜨거웠고, 전공자들의 문의도 잇따랐다. 방송기사라는 한계 때문에 자세히 소개하지 못한 SK컴즈의 암호화 기술에 대한 문의가 많았다.

하지만, SK컴즈의 해명은 황당했다. 방송 직후 메일을 통해 "방송에서 시연한 방식은 일반적인 단방향 암호화 방식으로, 자사에서 보안이 강화된 방식과는 다르다"는 자료를 돌렸다. 자신들의 암호화 방식은 "수사기관과 KISA(한국인터넷진흥원)도 인정했다"고 표현해놨다. 한마디로 오보라는 것이다.

그래서 추가 취재를 통해 두 번째 보도를 했다. SK컴즈가 암호화한 기술은 'MD5 HASH'방식에 의한 기술이며, 이는 2008년부터 미국에서는 보안 취약점 때문에 사용 금지 권고됐다는 사실을 확인해 방송했다.

조금 더 취재를 해보니, KISA에서 SK컴즈가 암호화에 사용했다는 기술을 인증했다는 주장도 사실이 아니었다. SK컴즈는 보안에 취약한 'MD5 HASH' 방식으로 암호화를 했지만, 여기에 약간의 보완 장치를 더 해놨다는 이유로 SBS가 시연을 통해 보도한 방식과 자신들의 기술이 근본적으로 다르다는 엉터리 해명을 내놓았던 것이다.

금고가 통째로 털린 상황에서 조잡하기 짝이 없는 작은 자물쇠를 하나 더 달아놨다는 이유로 전혀 다른 것이라고 우기는 것과 똑같은 꼴이다.

김승주 교수는 "SK컴즈에 암호에 대해서 제대로 아는 사람이 있는지 모르겠다"고 할 정도로 설계 자체가 엉망이었다.

국내 대학에서 전산학을 전공하고 있다는 한 시청자는 방송 직후 기자에게 메일을 보내 이렇게 말했다.

"SK컴즈에서는 무엇을 근거로 '다른 암호화 기법'이라고 말하는 것인지 정말 당혹스럽습니다. MD5+SALT 정도면 제가 학교에서 접근 가능한 컴퓨터 50대만 사용해도 상당히 긴 자릿수의 비밀번호도 순식간에 풀어낼 수 있습니다. 하지만 제 주변의 IT 전공자들은 대체로 '설마 SK컴즈가 그렇게까지 멍청하게 비밀번호를 보관했겠느냐'는 입장입니다."

"솔직하게 알리는 것만이 SK컴즈가 사는 길"

SK컴즈는 지금이라도 사실을 솔직하게 인정해야 한다. 비밀번호가 암호화돼 있어도 안심할 수는 없으니 국민들에게 최대한 빨리 비밀번호를 바꾸라고 말해야 한다.

특정인을 상대로 비밀번호를 알게 된다는 건 네이트 계정에서는 완벽한 아이디의 주인이 된다는 의미다. 메일도 열어볼 수 있고, 심지어 네이트온을 통해 지인들에게 메신저 피싱을 할 수 있다. 게다가 휴대전화로 오는 문자까지 들여다볼 수 있게 된다.

비밀번호가 안전하다고 말하는 순간 상당수 국민들은 비밀번호를 바꾸는 게 그렇게 중요한 일이라고 생각하지 않게 된다. '안전하다는데 별 일 있기야 하겠어'라는 생각이 들게 마련이다. 피해자들에 대한 보상은 나중 문제라고 하더라도, 솔직한 고백으로 국민들에게 비밀번호도 해커에게 노출돼 있다는 사실을 정확히 알려야 한다. 그게 SK컴즈가 사는 길이다.