2023년 개인정보유출 사건 공지사항
https://www.eatc.co.kr/customer/customer_040100.html?v=view&num=30857&page=1
공지사항
안녕하세요, 한국ATC센터(주) 입니다. 먼저 ATC 자격시험에 항상 관심을 주시는 분들께 감사와 사과의 말씀을 드립니다. 당사는 30여년간 ATC 자격시험을 시행하며 개인정보보호에 노력해 왔으나, 2
www.eatc.co.kr
위 내용대로 조치했다는데도 여전히 개인정보 설정 페이지의 비밀번호 조건은 아래와 같습니다.
4~8자리
요즘은 8자리 이상, 영대소문자, 숫자, 특수문자를 조합하는 비밀번호 설정 조건이 대세입니다.
세상에! 아직도 비밀번호 설정 조건을 4~8자리로 제한하는 곳이 여기 있었습니다. 2000년 IT 붐 시절에나 사용하던 비밀번호 형식.🤣🤣🤣🤣🤣
공지 내용 중, 비밀번호는 암호모듈을 통해 암호화되어 있지만, 2차 피해를 방지하기 위해서 사용을 중단하라는 내용이 있습니다. 비밀번호 유출 위험이 매우 높다는 뜻입니다.
이렇게 짧은 비밀번호 자릿수를 사용하는 곳은 MD5 암호화처럼 해시 기능만 있는 방식을 사용하기 때문에 보안이 심각하며 비밀번호 원본을 알아낼 수 있습니다.
그 이유는 salt를 뿌리지 않은 암호화 방식은 결과 값이 항상 같기 때문에 임의 암호 입력을 통해 암호화 값과 매칭되는 원본 암호를 알아낼 수 있습니다. 소금(salt)은 암호화 프로그래머 또는 관리자가 입력하는 값으로, 같은 암호를 입력하더라도 소금값이 다르거나 같은 소금이라도 암호화를 할 때마다 매번 결과가 달라지기 때문에 매칭 작업으로는 원본 암호를 알아낼 수 없습니다.
해시값으로 암호 원본 알아내기
CrackStation - Online Password Hash Cracking - MD5, SHA1, Linux, Rainbow Tables, etc.
Free Password Hash Cracker Enter up to 20 non-salted hashes, one per line: Supports: LM, NTLM, md2, md4, md5, md5(md5_hex), md5-half, sha1, sha224, sha256, sha384, sha512, ripeMD160, whirlpool, MySQL 4.1+ (sha1(sha1_bin)), QubesV3.1BackupDefaults How Crack
crackstation.net
해시값을 입력하면 원본 문자열을 알아낼 수 있습니다. 복호화가 안 되는 단방향 암호화지만, 4~8자리 대부분의 암호 문자열은 테이블로 만들어져 있기 때문에 조회만 하면 됩니다.🤣 해시 모음 파일은 토렌트로 내려받을 수 있습니다.
암호화된 문자열을 입력 후 Crack Hashes 버튼을 누르면 결과(Result)가 나타납니다.
md5, sha-1, sha-224, sha-256, sha-384, sha-512 등의 암호화 방식 모두 이미 알려진 원본 문자열을 조회할 수 있습니다.🤣
공지 내용을 보면
2024년 4월경 내/외부 개발자를 통해 한국ATC센터 모든 페이지에 대한 소스를 수차례 수정, 웹페이지 소스 업데이트를 최종 완료
라는 내용이 있습니다. 도대체 뭘? 최종 완료를 했다는 것인지?
이런 보안 수준으로 개인정보를 보호할 능력이 있는 것인지? 의심스럽습니다.
외부 개발자...위와 같은 보안 의식을 가졌다면 salt 값조차 유출되어 암호를 알아낼 수도 있겠습니다.🤣
