링크드인(LinkedIn) 6백만 사용자 비밀번호 해킹당했다

링크드인 사용자들은 지금 당장 비밀번호를 바꾸는 것이 좋을 것 같다.

링크드인(LinkedIn)의 iOS 앱이 자세한 캘린더 정보를 서버로 업로드하는 것이 사용자 프라이버시를 잠재적으로 침해한다는 보고가 나온 후, 결국 6백5십만개의 암호화된 링크드인 비밀번호들이 해킹당하는 사고가 발생했다.

한 러시아 포럼 사용자는 링크드인을 해킹했다고 주장하며 그 증거로 정확히 6,458,020개의 암호화된 비밀번호를 사용자이름 없이 업로드했다.

비밀번호들은 SHA-1 알고리즘으로 암호화되었고 SSL과 TLS를 사용하는 등 일반적으로 안전한 수준인 것으로 여겨졌지만, 역시 완벽한 보안이란 없다는 것이 또 한번 증명되었다.

또한 비밀번호들이 언솔티드 해쉬(unsalted hashes)로 저장되어 있었던 것으로 보이는데 이는 불행하게도 프리컴퓨티드 레인보우 테이블(pre-computed rainbow tables)이란 것으로 이용하면 쉽게 해독할 수 있다고 한다. 다시 말해, 그 해커가 비교적 짧은 시간안에 어렵지 않게 그 비밀번호들을 해독할 수 있을 것이란 얘기다.

러시안 해커가 제시한 비밀번호들이 가짜일 가능성도 있지만 트위터상에 오고가는 이야기들이 신빙성을 더해주고 있다. 링크드인은 트위터를 통해 이 이슈에 대해 조사하고 있는 중이라고 밝혔다.

핀란드의 보안업체 서트파이(Cert-Fi)는 링크드인 비밀번호를 해킹한 사람이 사용자이름까지 갖고 있을 가능성이 있다고 경고했다. 링크드인 사용자라면 당장 비밀번호를 바꾸는 것이 현명한 처사일 것이다. 또한, 링크드인과 똑같은 사용자이름/비밀번호를 사용하고 있는 다른 온라인 서비스가 있다면 그 비밀번호까지 바꾸어줄 필요도 있을 것 같다.