지금 당장 이렇게 하세요.

Video: 지금 당장 이렇게 하세요.
Channel: 코딩하는기술사
Duration: 7m 20s
Source: subtitle (auto, ko)
Transcript:
안녕하세요. 고등하는 규사입니다.
어, 개인 정보가 또 틀렸네요.
이번에는 티빙이라고 합니다. 아,
정말이 짜증이 나죠. 개인 정보 유출
하루가 멀다하고 발생하고 있습니다.
자, 티빙에서 메일이 왔더라고요.
자, 이메일인데요. 자, 유출된 개인
정보를 보면 뭐 이름, 생료를 성별,
CDI, 휴대폰 번호, 내자리 암호화
그리고 이메일 그리고 비밀번호, 뭐
암호화된 비밀번호됐다고
합니다. 정말 짜증이 납니다. 우리
개인 정보는 더 이상 개인 정보가
아니라 공유된 정보라고 생각하면 될
것 같아요. 그래서 우리 스스로가
조심할 수밖에 없을 것 같습니다.
자, 그래서 오늘은 어 이런 마당에
지금 우리가 당장 뭘 하면 좋을지
그리고 이런 상황에서 우리 개발자로서
알아야 될 기본적인 보안 가이드를
말씀드리고자 합니다. 어, 주변
가족이나 친구분들한테도 공유해 주시면
좋겠습니다. 자, 최근에 개인정부
유출 사건 계속 나고 있죠. 작년에
ESK 텔레콤 그리고 구판 그리고
카드사도 있었고 그리고 지금이 티빙이
통신 유통 뭐 플랫폼 뭐 OTT 할
것 없이 개인 정보가 계속 유출되고
있어요.이네 정보는 이미 어딘가에서
유통되고 있다고 보시면 됩니다. 자
그런데 해커들은 왜 개인 정보를 계속
빼갈까요? 핵심은 돈이 되기
때문이죠. 돈이 일단 다크웹에서
판매를 할 수가 있죠. 이런 개인
정보가 많으면 많을수록 높은 가격으로
판매된다고 합니다. 그리고 크리덴셜
스태핑이라고 해서 아이디 패스워드를
탈취해서 다른 사이트에 한번 대입을
해 보는 거죠. 로그인이 되는지.
그리고 타겟을 해서 피싱을 하는
스피어 피싱 이렇게 이름이나 생료일
이런 개인화된 정보를 가져가서 마치
실제 서비스인 것처럼 예를 들어서 어
t빙 환불 처리해 드리겠습니다. T빙
1년 구독 이벤트 당첨자입니다. 이런
식으로 내가 이미 이름과 생년 노
그리고 서비스면 계약 기간을 알고
있으면 훨씬 더 개인화된 피싱이
가능하겠죠. 그래서 개인 정보를
가지고 이렇게 돈이 되기 때문에 계속
이렇게 빼 나가는 것이죠. 다크웹에서
내정보의 가치. 자, 이름 전화번호
뭐 아이디, 비밀번호 요즘 뭐 평은
잘 없긴 하지만 어쨌든 비밀 번호
해시된 비밀 번호 그리고 티빙도 C
연계 정보도 나갔다 그러죠. 자,
정보가 많을수록 높은 가격으로
거래된다고 합니다. 그래서 우리가
지금 당장 해야 될 건 티빙 패스워드
변경을 하시길 권장드립니다.
티빙에서도 공고하고 있죠. 특히 비밀
번호를 심플하게 사용하시는 분들은
빨리 바꾸셔야 돼요. 그리고 같은
비밀 번호를 쓰는 서비스는 전부 다
한 번에 이번에 변경하는게 좋습니다.
특히 이런 돈과 관련된 곳에서 같은
패스워드를 사용하고 있었다면 변경을
하는 것을 권장드립니다. 그리고이
주요 서비스 2단계 인증 있죠?
문자로 인증 번호 받아서 한 번 더
인증하는 거 있죠. 귀찮아도 돈과
관련되거나 중요한 정보가 있는
사이트는 2단계 인증을 꼭
활성화하시기 바랍니다.이 비밀번호군데
같은 비밀번호로 사용하는게 왜
위험한지 보겠습니다.이 크리던셜
스터핑이라고 해서 디빙에서 아이디
패스워드를 탈치해서 자동으로 다른
사이트에 무작기로 대량으로 대입하는
공격을 해 볼 수가 있습니다. 그렇게
해서 로그인을 시도하고 성공하면 그
이후에는 끔찍하죠. 물론 요즘이
비밀번호는 단방량 해시가 돼 있기
때문에 복화 즉 평문으로 다시 원복해
볼 수는 없습니다. 그래서 보호화는
대부분 불가능한데 보호화가 아니라이
레인보우 테이블이라는게 있어요. 예를
들어서 사람들이 자주 사용하는
패스워드를 미리 해시해서 해시값을
만들어 놓은 테이블을 레인보우
테이블이라고 하거든요. 그래서이
레인보우 테이블에 있는 해식값과
탈치된 비밀번호 해시 값을 대조해서
맞으면 비밀 번호가 노출되는
것이고요. 또이 브루드 포스
공격이라고 해서 무작기로 패스워드를
생성해서 해시를 해서 대조해 보는
그런 공격도 있습니다. 요즘이 컴퓨터
성능이 좋아져서이 단순한 비밀번호는
굉장히 빠르게 뚫릴 수가 있어요.
자, 그래서 1 2 3 4 5 뭐
생년 월일로 돼 있는 비밀 번호 이런
유추 가능하고 심플한 비밀 번호는
위험할 수 있습니다. 그래서 항상
길이가 길수록 좋고 특수 문자 같이
다양한 조합 그리고 대수 문자 이렇게
복잡하게 사용할수록 더 안전한 비밀
번호가 됩니다. 그리고 t빙에서 지금
해시 알고리즘을 뭘로 했는지 공개를
하지 않아서 잘 모르겠지만 이런
안전한 비크립이나 아르곤과 같은
솔트까지 넣으면 사실상 역추적은
불가능합니다. 어 이런 뭐 해시와
솔트 이런 부분은 다음에 기회가 되면
한번 기술적으로 다뤄 보겠습니다. 자
그래서 티빙이 어떤 알고리즘으로 단방
해싱을 하는지는 모르겠지만 일단은
안전하게 역주적이 될 수 있으니
패스워드를 변경하고 동일한 패스워드를
다른데도 사용하고 있으면 다 같이
변경하시길 권장드립니다. 어, 저는
이런 비밀번호 전략을 가지고 있어요.
모든 사이트의 비밀번호를 다 다르게
하는게 가장 좋지만 사실 현실적으로
힘들죠. 그걸 어떻게 다 기억을
하겠습니까? 그래서 저는이 사이트
별로 조금 그룹을 나눠서 관리를
해요. 고위험 사이트 은행이나 뭐
네이버, 구글, 카카오 이런 거 같이
틀리면 위험한 정말 고위험 사이트
이런 레벨에서는 비밀번호를 저는 좀
복잡하게 가져가고 있고요. 뭐 이렇게
중간이나 저위험, 특히 저유험 틀려도
별로 상관없고 또 그 사이트는
보완적으로도 그렇게 신뢰가 안 가는
사이트들은 다른 비밀 번호를 사용을
합니다. 그렇게 해서 이렇게 제가
그룹을 나눠서 저유험, 중간, 고위염
이렇게 해서 패스워드를 조금 다르게
운영을 하고 있습니다. 여러분들도
모든 사이트를 동일한 패스워드로
사용하고 있다면 이런 부분 한번
고려해 보시기 바랍니다. 특히 고유염
사이트는 꼭 패스워드를 복잡하게
하시고 2단계 인증을 걸어 두시기
바랍니다. 해킹으로 틀려도 또
중간이나 저유험 사이트가 틀릴
가능성이 더 높겠죠. 그래서 이렇게
틀린 개인 정보로 위험 사이트에
시도를 해 볼 수 없도록 하는 거죠.
자, 그리고이 C 요번 티빙에서도
CI가 유출됐다고 하죠.이 C는
커넥팅 인포메이션 우리말로 하면 연계
정보라고 하는데요. 원래 예전에는
회원 가입할 때 주민 번호를 받았죠.
근데 이게 개인 정보가 강화되면서
주민등급 번호 수집이 어려워지고 난
뒤에 만들어진게이 CI라고 하는
것인데요. 주민번호 대신에 주민
번호와 매칭되는 다른 고유값을
사용하는 것입니다. 그게 CI이고요.
주사용 목적은 본인 확인이죠. 우리가
가입할 때 휴대폰 인증이나 간편 인증
같은 것을 하게 되면이 본인 확인
기간에서 C를 전달해 줍니다. 그리고
T빈 같은 기업은이 C로 가입자의
신혼을 확인할 수 있고 또 다른
서비스하고 연계해서이 사람이 동일인지
확인할 수 있거든요. 쉽게 말해서
CI는 주민 등록 번호를 직접
저장하지 않고도 같은 사람임을
확인하기 위한 대체 식별자라고
이해하시면 되는데요. 이렇게 CI가
유출되면 조금 더 위험한게 뭐냐면
TV에서 이렇게 C까지 노출됐죠.
그럼이 C는 다른 서비스, 다른
사이트, 다른 기업의 CI하고
동일하거든요. 동일인이면 같이
주민번호와 같이. 그래서 TV에서
유출된 정보와 다른 사이트 통신이나
다른 뭐 카드사 이런 데서 유출된
정보와 C가 맞을 경우에는 한 사람에
대한 아주 복합적인 정보를 해커가
가져갈 수 있죠. 그 사람의 이름,
전화번호, 이메일, 뭐 카드, 이용
패턴, 뭐 주소 그리고 통신과 관련된
어떤 정보들 이걸 다 결합하면 그
사람을 아주 많이 꿰뚫고 볼 수
있다는 거죠. 그렇게 되면 훨씬
정교하게 그 사람한테 접근할 수가
있겠죠. 그래서 시야 유출이
위험하다는 것입니다. 그래서 앞으로
이런 연락 특별히 조심하셔야 됩니다.
본인을 잘 알고 있는듯한 이런 느낌.
뭐 안녕하세요. 누구님 뭐 TV
고객센터 혹은 뭐 다른 서비스 고객
센터인데 당신이 뭐 현재 영광는
서비스가 이런 것이고 내가 이런 이런
것들을 도와주겠다라고 하는 이런 것들
연락 조심하셔야 되고요. 어 절대
하면 안 되는 거 뭐 전화 문자로
계좌번호 제공하거나 모르는 링크 절대
클릭하지 마세요. 특히 나이 드신
우리 부모님들 꼭 전달해 주셔야
됩니다. 그리고 이런 전화가 오면
그냥 바로 끊고 문자도 절대로
클릭하지 마시고요. 의심스러우면
사이버 범죄 신고도 하시고요. 자,
그래서 일상 생활에서 어 비밀번호
관리 말씀드렸죠? 서비스마다 다른
비밀번호 하면 좋은데 좀 힘드니
그룹으로 나눠서 2차 인증까지 거는
걸 문장드리고요. 그리고 비밀번호 좀
복잡하게 하시고요. 그리고 2단계
인증도 활성화하면 귀찮지만 더
안전합니다. 그리고 틀린 정보가
있는지 보려면 이런 사이트에서도
확인을 좀 할 수 있고요. 실시간
아니지만 어쨌든 주기적으로 한번 확인
한번 해 보세요. 그리고 어 00
와이파이 같은 데서 이런 금융 같은
중요한 앱 사용은 좀 자재를
하시고요. 자 우리 개인 정부는
우리가 지킵시다. 좀 귀찮아도 조금
더 보안에 신경 쓰는 생활을 하시길