지난 6일 미국의 비즈니스전문 소셜네트워크서비스(SNS)인 링크드인이 해킹당해 650만개의 계정정보가 탈취당하는 사고가 발생했다.

수사당국은 해킹의 배후는 러시아의 해커그룹으로 추측하고 있다. 이들이 지난 5일 링크드인을 해킹, 계정정보를 탈취했다고 주장하면서 이를 온라인에 게시했기 때문이다.

링크드인은 해킹으로 인해 비밀번호가 유출된 사용자들의 계정을 비활성화시키고, 해당 사용자들에게 비밀번호 유출사실을 통보할 예정이다.

링크드인이 탈취당한 정보에는 계정 비밀번호도 포함돼 있다. 해당 비밀번호는 SHA(Secure Hash Algorithm)-1을 사용하고 있는데, 혹자들은 이미 SHA-1은 취약한(cracked) 알고리즘이라는 주장도 하고 있다. 실제 해커들이 공개한 정보에는 비밀번호도 포함돼 있었기 때문이다.

흔히 해커들은 계정정보 탈취의 경우 암호화하지 않은 영역을 다른 범죄에 사용하게 된다. 비밀번호와 같은 민감한 정보들은 암호화를 해둬 다시 활용할 수 없도록 했기 때문이다.

마타사노 시큐리티의 토마스 파섹 연구원은 “SHA-1 은 1990년대 초반 이후 보안적으로 전혀 강화되지 않았다. SHA-1로 암호화된 데이터를 복호화하지 못한다는 것은 일반적인 오해”라며 “이미 많은 SHA-1 암호를 복호화하기 위한 크래킹도구가 나와있는 상태이다. 만약 링크드인이 SHA-512를 사용했다면 걱정을 좀 덜 수 있었을 것”이라고 말했다.

또 미국 암호화연구소의 폴 커쳐 사장은 “링크드인이 비밀번호 보안에 대해 조금이라도 아는 사람과 이야기를 나눠봤다면 이런 어처구니 없는 상황은 발생하지 않았을 것”이라고 비판했다.

아울러 외신들은 링크드인이 최고보안책임자(CSO)를 갖추지 않은채 영업을 지속했다는 점을 지적했다.

뉴욕타임즈, 매셔블 등 외신들은 “해커들이 링크드인의 시스템을 얼마나 휘젓고 다녔는지 당사자도 모를 것이다. 링크드인에는 보안을 총괄하는 담당임원이 없기 때문”이라고 보도했다. 실제 링크드인은 데이비드 헨케 수석부사장이 서비스운영과 보안을 모두 총괄하고 있다.

링크드인의 해킹사건은 국내 SK컴즈, 넥슨 등의 개인정보유출 사고와 매우 유사한 점이 있다. 유출되기 전까지 전혀 알지 못했다는 점과 사고가 발생하기 전까진 최고보안책임자가 없었다는 점이 동일하다.

SK컴즈 해킹사고 당시에도 암호화에 대한 논란은 있어왔으나, 이에 대한 해명과 검증은 제대로 이뤄지지 않았다. 그러나 여전히 많은 사용자들이 계정도용이나 개인정보도용으로 인한 피해사례를 신고하고 있는 상황.

사실 링크드인 사고에서 우리가 배울 점은 그리 많지 않다. 이미 그들보다 먼저 많은 사고를 경험했기 때문이다.