자유게시판


에버노트 모든 사용자의 패스워드가 강제로 리셋되었습니다.

에버노트측에서는 데이터의 유출이 없다고 하는데, 그 말을 글자 그대로 읽어서는 안 됩니다. 디지털의 특성상 데이터의 허가되지 않은 read는 얼마든지 숨길 수 있기 때문입니다.
즉 에버노트가 공격자의 데이터 읽기를 숨길 수도 있으며, 되려 데이터 읽기조차 탐지하지 못했을 가능성도 있습니다. 둘 다 충분히 가능한 시나리오입니다.


팩트에서 시작해 봅니다.
에버노트는 모든 사용자의 패스워드를 일괄 강제리셋했습니다.

사전공지없이 패스워드를 리셋하고, 사후에 이메일로 패스워드가 리셋되었다고 통보하는 이 사태로 인해 에버노트의 주가는 폭락할 것으로 보이고, 사용자의 신뢰 또한 크게 낮아질 것으로 생각합니다.

그렇다면 왜 이런 선택을 한 것일까요?
현재 사태보다, 패스워드 리셋을 하지 않았을 때 일어날 사태가 더 심각했기 때문이라 보입니다.

즉 패스워드 자체가 공격자에게 다 털렸거나, 그에 준하는 사태가 일어났기 때문에 에버노트는 전체 사용자의 패스워드를 리셋할 수 밖에 없었다는 결론이 나옵니다.



일반적으로 패스워드는 hash라는 준단방향 함수로 저장됩니다. 준단방향함수란 역함수를 구하기가 매우 힘든(non practical) 함수를 의미합니다.

여기다가 사전공격(dictionary attack)을 막기 위해 salt를 추가하는 등 각종 역공격 방지 기법을 사용합니다.



이러한 일을 하는 이유는 불의의 사고로 password hash가 털리더라도, 그 것 만으로는 practical한 시간 내에 패스워드를 유추할 수 없게 하기 위함입니다.

즉 에버노트가 만약 password hash만 털렸다면, 당장 전체 사용자의 패스워드를 리셋 할 이유가 없습니다. 일정한 시간을 두고 패스워드 리셋을 강제하면 됩니다.

하지만 에버노트는 전체 사용자의 패스워드를 리셋했습니다.



그렇다면, password hash만 털린게 아니라는 의미입니다.
password hash는 물론이고, salt와 hash구조까지 털렸다고 가정해 봅시다.
이 경우 공격자는 사전공격(dictionary attack)을 통해 사용자를 쉽게 공격할 수 있게 됩니다.

이때 에버노트가 대처할 수 있는 방안은 두 가지 입니다.
사전공격에 유의미한 공격을 당할 수 있는 사용자의 패스워드만 리셋한다. (시간이 소요됨, 하지만 불가능한 것은 아니며 주가방어나 사용자 신뢰도 유지에는 큰 도움이 됨)
전체 사용자의 패스워드를 리셋한다. (단숨에 처리할 수 있지만, 주가는 폭락할 것이며 향후 회사의 미래도 보장할 수 없음)

이 상황에서 제가 에버노트 ceo라면 첫 번째의 방법을 사용해서 대처했을 것입니다.


그럼에도 불구하고 에버노트는 전체 사용자의 패스워드를 리셋했습니다.




결국 제가 내린 결론은 이것입니다.
모든 사용자의 인증을 우회할 수 있는 취약점이 발견되어 공격당했다.

이 시나리오가 아니라면 도무지 에버노트의 행동을 이해할 수가 없습니다.
번호 제목 작성자 작성일 조회
공지 [공지] 2025년 KPUG 호스팅 연장 완료 [9] KPUG 2025.08.06 148
공지 [공지] 중간 업데이트/ 다시한번 참여에 감사 드립니다 [10] KPUG 2025.06.19 787
공지 [안내의 글] 새로운 운영진 출범 안내드립니다. [15] 맑은하늘 2018.03.30 32327
공지 KPUG에 처음 오신 분들께 고(告)합니다 [100] iris 2011.12.14 443292
29795 [공지] 댓글 알림기능의 위치를 우측하단으로 변경하였습니다. [7] KPUG 07.16 61495
29794 [공지] 금칙어 적용에 대한 투표 결과입니다. [4] KPUG 07.15 60830
29793 Yuandao N10 그리고 N12의 공식케이스 공구들어갑니다. (마감되었습니다..) [39] file 星夜舞人 11.07 56116
29792 제7차 공동구매 시작합니다 (마감되었습니다~) [67] 星夜舞人 11.17 55256
29791 [기기 사용방안?]괜스레 고민만 쌓여 갑니다. [6] 유부총각 10.21 53627
29790 [공지] 댓글알림 기능 투표결과입니다. [5] midday 07.24 52154
29789 소모임의 자료실을 공개로 해놓을까요?? 아니면 회원공개로만 해놓을까요?? [21] 星夜舞人 02.03 51041
29788 다나와 중고장터 [4] matsal 01.25 49354
29787 공동구매 AS는 이렇게 이루어 집니다... [2] 星夜舞人 10.28 45366
29786 KPUG 운영비 계좌 + 모금현황 (최종) [16] 하얀강아지 06.13 41291
29785 [공지] 태파님에 대한 징계를 알려드립니다. [2] KPUG 웹마스터 1호기 07.31 40751
29784 제5차 공동구매 시작합니다... (마감되었습니다.) [51] file 星夜舞人 09.29 40524
29783 100만번째 이벤트 가위바위보 토너먼트 최종결과 그리고 나머지 이야기.. [44] file 星夜舞人 03.22 39903
29782 Gpad를 터치패널 구입합니다. (신청자 리플에 남겨 주세요..) [17] 성야무인 04.22 39062
29781 [알림]4기 운영진 인사드립니다 [20] KPUG 03.12 38683
29780 이북모임 이름 후보작들입니다. [13] 星夜舞人 01.21 37848
29779 서울, 경기, 인천지역에서 키보드 찾아가지 않으신 분들은 이번주 일요일에 노예처럼 부려먹겠습니다. ^^; (일요일 오후 5시부터 6시까지 회기역으로 오세요~~) <---시간 수정 .. 아 그리고 이번에 안찾아 오시는 분들의 경우 무조건 착불로 보냅니다.. 섭섭해 하지 마시기 바랍니다. [20] file 星夜舞人 11.17 36633
29778 KPUG 운영비 모금을 종료합니다. [13] 로켓단® 07.12 34894
29777 댓글 테스트 한번 더... [24] file 인포넷 05.15 34172

오늘:
3,822
어제:
15,027
전체:
16,566,192