클라우드 스토리지 서비스인 드롭박스가 무려 6,800만 건에 달하는 계정 정보를 해커에게 도난당한 것으로 밝혀졌다.

드롭박스는 계정 정보가 유출된 것으로 알려졌을 당시 사용자에게 암호 변경을 요구, 이미 암호 재설정을 철저히 해 실제로 부정 접근 흔적은 없다고 주장하고 있다. 하지만 드롭박스가 암호 변경을 일부 사용자에게 요구한 건 지난 8월말. 당시 어느 정도 규모로 계정 정보가 유출됐는지 여부는 밝혀지지 않았다.

이런 가운데 해외 매체에서 데이터베이스 거래 소식통을 인용, 드롭박스 사용자 이메일 주소와 해시 암호 등 드롭박스에서 유출된 것으로 보이는 계정 정보가 기록된 데이터 파일이 있다고 보도했다. 파일은 모두 4개이며 용량은 5GB, 계정 정보는 6,868만 741건이 기록되어 있다. 이 매체가 입수한 6,800만 건에 이르는 계정 정보는 진위 여부를 확인한 결과 드롭박스 사용자의 것이라고 한다.

앞서 밝혔듯 드롭박스가 사용자에게 계정 비밀번호 재설정을 요구한 건 지난 8월 마지막 주 초. 당시 드롭박스는 어느 정도 규모로 계정 비밀번호 유출이 일어났는지 여부는 발표하지 않은 채 자사 보안팀이 항상 사용자에 대한 새로운 위협을 감시 중이며 이중 2012년 누군가 입수한 것으로 보이는 드롭박스 사용자의 이전 계정 정보가 검출됐다고 밝혔다. 드롭박스는 이에 따라 2012년 발생한 해킹 사건과 관련이 있는 것으로 보인다고 덧붙였다.

실제로 드롭박스 계정 유출 정보를 보도한 매체 역시 유출 정보 6,800만 건이 2012년 해킹 사건과 관련이 있는 것으로 단정하고 있다. 유출된 계정 정보 중 3,200만 건의 암호는 비크립트(bcrypt)라는 기술로 암호화한 것이다. 이 매체는 해커가 암호화된 데이터에서 실제 암호를 빼내기는 상당히 어려울 것이라고 밝히고 있다. 다만 나머지 절반은 암호에 대한 취약성이 지적되고 있는 SHA-1라는 방법으로 암호화한 것이다. 드롭박스는 2012년 경부터 여러 차례 암호화 방법을 바꿔왔다. 관련 내용은 이곳에서 확인할 수 있다.

이장혁 IT칼럼니스트  hymagic@naver.com

<저작권자 © 테크홀릭, 무단 전재 및 재배포 금지>