자유게시판


에버노트 모든 사용자의 패스워드가 강제로 리셋되었습니다.

에버노트측에서는 데이터의 유출이 없다고 하는데, 그 말을 글자 그대로 읽어서는 안 됩니다. 디지털의 특성상 데이터의 허가되지 않은 read는 얼마든지 숨길 수 있기 때문입니다.
즉 에버노트가 공격자의 데이터 읽기를 숨길 수도 있으며, 되려 데이터 읽기조차 탐지하지 못했을 가능성도 있습니다. 둘 다 충분히 가능한 시나리오입니다.


팩트에서 시작해 봅니다.
에버노트는 모든 사용자의 패스워드를 일괄 강제리셋했습니다.

사전공지없이 패스워드를 리셋하고, 사후에 이메일로 패스워드가 리셋되었다고 통보하는 이 사태로 인해 에버노트의 주가는 폭락할 것으로 보이고, 사용자의 신뢰 또한 크게 낮아질 것으로 생각합니다.

그렇다면 왜 이런 선택을 한 것일까요?
현재 사태보다, 패스워드 리셋을 하지 않았을 때 일어날 사태가 더 심각했기 때문이라 보입니다.

즉 패스워드 자체가 공격자에게 다 털렸거나, 그에 준하는 사태가 일어났기 때문에 에버노트는 전체 사용자의 패스워드를 리셋할 수 밖에 없었다는 결론이 나옵니다.



일반적으로 패스워드는 hash라는 준단방향 함수로 저장됩니다. 준단방향함수란 역함수를 구하기가 매우 힘든(non practical) 함수를 의미합니다.

여기다가 사전공격(dictionary attack)을 막기 위해 salt를 추가하는 등 각종 역공격 방지 기법을 사용합니다.



이러한 일을 하는 이유는 불의의 사고로 password hash가 털리더라도, 그 것 만으로는 practical한 시간 내에 패스워드를 유추할 수 없게 하기 위함입니다.

즉 에버노트가 만약 password hash만 털렸다면, 당장 전체 사용자의 패스워드를 리셋 할 이유가 없습니다. 일정한 시간을 두고 패스워드 리셋을 강제하면 됩니다.

하지만 에버노트는 전체 사용자의 패스워드를 리셋했습니다.



그렇다면, password hash만 털린게 아니라는 의미입니다.
password hash는 물론이고, salt와 hash구조까지 털렸다고 가정해 봅시다.
이 경우 공격자는 사전공격(dictionary attack)을 통해 사용자를 쉽게 공격할 수 있게 됩니다.

이때 에버노트가 대처할 수 있는 방안은 두 가지 입니다.
사전공격에 유의미한 공격을 당할 수 있는 사용자의 패스워드만 리셋한다. (시간이 소요됨, 하지만 불가능한 것은 아니며 주가방어나 사용자 신뢰도 유지에는 큰 도움이 됨)
전체 사용자의 패스워드를 리셋한다. (단숨에 처리할 수 있지만, 주가는 폭락할 것이며 향후 회사의 미래도 보장할 수 없음)

이 상황에서 제가 에버노트 ceo라면 첫 번째의 방법을 사용해서 대처했을 것입니다.


그럼에도 불구하고 에버노트는 전체 사용자의 패스워드를 리셋했습니다.




결국 제가 내린 결론은 이것입니다.
모든 사용자의 인증을 우회할 수 있는 취약점이 발견되어 공격당했다.

이 시나리오가 아니라면 도무지 에버노트의 행동을 이해할 수가 없습니다.
번호 제목 작성자 작성일 조회
공지 [공지] 2025년 KPUG 호스팅 연장 완료 [9] KPUG 2025.08.06 140
공지 [공지] 중간 업데이트/ 다시한번 참여에 감사 드립니다 [10] KPUG 2025.06.19 777
공지 [안내의 글] 새로운 운영진 출범 안내드립니다. [15] 맑은하늘 2018.03.30 32316
공지 KPUG에 처음 오신 분들께 고(告)합니다 [100] iris 2011.12.14 443279
20156 결혼 11주년 기념 : 세탁기 사망하시다. [10] 해색주 03.04 975
20155 경매 낙찰되었습니다. [11] zegal 03.04 975
20154 귀찮은데 모토글램 그냥 드립니다로 할까요?? [6] 星夜舞人 03.04 1069
20153 다들 pc나 모바일기기 어떻게 활용 하세요? [7] 전설의주부용사 03.04 959
» 에버노트 패스워드 강제리셋이 의미하는 것 [5] 에스비 03.04 1183
20151 모 사이트 장터게시판에서... [8] Electra 03.04 899
20150 지름신고~ 마눌님꺼....T.T [14] file 토토사랑 03.04 855
20149 오랜만에 86osx 가보니 거기도 인민에어소리가 많이 나오네요 [17] 60억낚시꾼 03.04 7213
20148 나이 인증 /드로-ㅍ스 아시는 분? [11] 하얀강아지 03.04 982
20147 요즘 미군이 조용하다 말썽을 부리네요. [8] 해색주 03.03 835
20146 싱글 앨범 나왔습니다? [10] file yohan666 03.03 786
20145 박지성의 활약 [1] 제우스0 03.03 955
20144 [지름을 전파 하라~] 1000원 의 행복 편 [6] 나는야용사 03.03 835
20143 멀티콥터 날렸던 동영상 2개 입니다... [10] yohan666 03.03 835
20142 Sk 데이터 500mb무료 증정중이내요~ [9] 스파르타 03.03 1863
20141 오늘 지른거... - 사진 하나 추가... [9] file 인포넷 03.03 883
20140 어제 무한도전 보셨나요? [5] 바보남자 03.03 835
20139 봄맞이 청소 중에 나온 전화기들... [11] file 호야집 03.03 1061
20138 씐나게 달리는 RC카 엉상 한번 보세요 [2] yohan666 03.03 854
20137 WBC 한국 첫경기...4:0 (7회말) [28] FATES 03.02 835

오늘:
1,089
어제:
15,027
전체:
16,563,459