에버노트 패스워드 강제리셋이 의미하는 것
2013.03.04 11:39
에버노트측에서는 데이터의 유출이 없다고 하는데, 그 말을 글자 그대로 읽어서는 안 됩니다. 디지털의 특성상 데이터의 허가되지 않은 read는 얼마든지 숨길 수 있기 때문입니다.
즉 에버노트가 공격자의 데이터 읽기를 숨길 수도 있으며, 되려 데이터 읽기조차 탐지하지 못했을 가능성도 있습니다. 둘 다 충분히 가능한 시나리오입니다.
팩트에서 시작해 봅니다.
에버노트는 모든 사용자의 패스워드를 일괄 강제리셋했습니다.
사전공지없이 패스워드를 리셋하고, 사후에 이메일로 패스워드가 리셋되었다고 통보하는 이 사태로 인해 에버노트의 주가는 폭락할 것으로 보이고, 사용자의 신뢰 또한 크게 낮아질 것으로 생각합니다.
그렇다면 왜 이런 선택을 한 것일까요?
현재 사태보다, 패스워드 리셋을 하지 않았을 때 일어날 사태가 더 심각했기 때문이라 보입니다.
즉 패스워드 자체가 공격자에게 다 털렸거나, 그에 준하는 사태가 일어났기 때문에 에버노트는 전체 사용자의 패스워드를 리셋할 수 밖에 없었다는 결론이 나옵니다.
일반적으로 패스워드는 hash라는 준단방향 함수로 저장됩니다. 준단방향함수란 역함수를 구하기가 매우 힘든(non practical) 함수를 의미합니다.
여기다가 사전공격(dictionary attack)을 막기 위해 salt를 추가하는 등 각종 역공격 방지 기법을 사용합니다.
이러한 일을 하는 이유는 불의의 사고로 password hash가 털리더라도, 그 것 만으로는 practical한 시간 내에 패스워드를 유추할 수 없게 하기 위함입니다.
즉 에버노트가 만약 password hash만 털렸다면, 당장 전체 사용자의 패스워드를 리셋 할 이유가 없습니다. 일정한 시간을 두고 패스워드 리셋을 강제하면 됩니다.
하지만 에버노트는 전체 사용자의 패스워드를 리셋했습니다.
그렇다면, password hash만 털린게 아니라는 의미입니다.
password hash는 물론이고, salt와 hash구조까지 털렸다고 가정해 봅시다.
이 경우 공격자는 사전공격(dictionary attack)을 통해 사용자를 쉽게 공격할 수 있게 됩니다.
이때 에버노트가 대처할 수 있는 방안은 두 가지 입니다.
사전공격에 유의미한 공격을 당할 수 있는 사용자의 패스워드만 리셋한다. (시간이 소요됨, 하지만 불가능한 것은 아니며 주가방어나 사용자 신뢰도 유지에는 큰 도움이 됨)
전체 사용자의 패스워드를 리셋한다. (단숨에 처리할 수 있지만, 주가는 폭락할 것이며 향후 회사의 미래도 보장할 수 없음)
이 상황에서 제가 에버노트 ceo라면 첫 번째의 방법을 사용해서 대처했을 것입니다.
그럼에도 불구하고 에버노트는 전체 사용자의 패스워드를 리셋했습니다.
결국 제가 내린 결론은 이것입니다.
모든 사용자의 인증을 우회할 수 있는 취약점이 발견되어 공격당했다.
이 시나리오가 아니라면 도무지 에버노트의 행동을 이해할 수가 없습니다.
코멘트 5
-
현수아빠
03.04 13:16
linkedin에서도 강제 리셋했던 기억이...
앞으로 먼가 새로운 (나쁜)소식이 나오지 않는이상 그리 큰 타격은 아닐꺼라 추측합니다.
온라인 어카운트 해킹보다 더 무서운게 자기도 모르는 사이에 자기 컴터에 먼가가 설치되서 꾸준히 정보를 뺴갈수 있다는 시나리오가 더 섬찟해요.
-
그 조취가 기술적인 조취가 아닐수도 있습니다. 손해배상 소송이 걸렸을때, "우린 프로토콜대로 할 수 있는걸 했다"라고 면피하여 배상금액을 줄이기 위한 것일수도 있어요.
-
저도 그 날 접속이 안 돼서 패스워드 바꿔서 들어갔습니다. 다음날에야 무슨 일인지 알았죠.
에스비님 생각이 정답이 아닐 수도 있어요.
요즘 유행하는 윤리경영의 측면에서 보면, 주가하락 등 당장 눈에 보이는 손해보다
고객의 불신으로 인한 눈에 보이지 않는 미래의 영향을 고려해 강한 조치를 취할 수도 있습니다.
예전 미국의 유명 제약회사의 경우인데요,
대중이 많이 사 먹는 약에 독극물을 투여했다는 협박이 오자, (타이레놀로 기억해요.)
회사는 즉시 언론을 통해 상황을 알리고 전국의 약을 다 수거해서 폐기한 적이 있습니다.
폐기한 약 뿐 아니라 한동안 그 약을 못 팔게 되어 당장은 막대한 손해를 입었지만
결과적으로 책임 있는 기업이라는 인식 때문에 신뢰를 얻게 되었지요.
-
꼬소
03.04 16:16
속내를 털렸다기 보단 좀 더 신뢰성 있는 대처를 위해 전회원의 비밀번호를 변경하도록 한것 같은데..
보는 사람의 시각에 따라서 뭐 다를수도 있군요..
발표하지 않은 부분도 있을것이고
발표를 다 했지만 믿지 않는 사람도 있겠죠..
하지만 내 정보만 안 털리면 되는 것이니... 딴건 패스...
그러나 에버노트를 안쓴다는건 또 다른 함정...
갑작스런 비번 변경에 얼떨떨했었는데...
그게 이렇게 큼직한 숨은 뜻이 있었군요.
갑자기 신뢰감이 뚜욱 떨어지네요.
가끔 스마트폰 강의할 때 메모, 필기, 기록용 추천 1순위 앱이었는데...ㅠㅠ