[중앙일보 김원배] 네티즌들이 온라인으로 대화할 때 자주 이용하는 메신저의 보안이 허술해 패스워드(접속 암호)가 쉽게 풀리는 것으로 나타났다.
이는 8일 성균관대 정보보호인증기술센터 원동호-김승주 교수팀이 국내에서 많이 쓰이는 5개 메신저를 분석한 결과에 따른 것이다. 특히 국내 업체가 만든 '토종 메신저'는 보안이 취약했지만 미국 마이크로소프트(MS)사의 MSN 메신저는 보안 기능이 잘 갖춰진 것으로 드러나 국내 메신저 보안 기술 수준을 높여야 하는 것으로 지적됐다.
김 교수는 "국내에선 소프트웨어를 개발하면서 보안 전문가를 처음부터 참여시키는 경우가 많지 않다"며 "보안 기술에 대한 관심을 높이고 관련 투자를 늘려야 한다"고 밝혔다. 최근 메신저의 연계 기능이 강화돼 메신저에만 접속하면 싸이월드 미니홈피나 한메일 등에 아이디와 패스워드를 넣지 않아도 바로 접근할 수 있는 기능이 있어 피해가 우려된다.
원 교수는 "포털사이트에 접속할 때 쓰는 아이디와 패스워드는 보안 기능이 잘 갖춰진 편이지만 메신저의 보안은 취약했다"며 "다른 사람이 메신저를 통해 포털사이트에 들어가 메일을 보고 아이템이나 도토리 등 사이버 머니를 마음대로 처분할 가능성이 있는 만큼 대비가 필요하다"고 밝혔다.
◆ 외국산 제품은 패스워드 못 풀어=원 교수팀은 인터넷에서 얻을 수 있는 무료 프로그램을 활용해 이용자가 메신저에 접속할 때 보내는 인증 데이터를 잡아내고 이 데이터에 숨어 있는 패스워드를 찾아내는 방식을 썼다. 버디버디 메신저와 세이클럽의 타키 메신저는 전송 데이터 안에 들어있는 패스워드가 암호 처리되지 않아 바로 노출됐다.
SK커뮤니케이션즈의 네이트온과 다음커뮤니케이션의 터치 메신저는 패스워드가 암호 처리되고 있지만 접속 때마다 똑같은 인증 데이터가 전송되는 단순한 형태여서 대부분 5분 이내에 파악됐다. 그러나 MS사가 제작한 MSN 메신저(라이브 메신저)는 접속 때마다 다른 인증 데이터가 전송돼 원 교수팀의 분석 방법으로는 패스워드가 풀리지 않았다.
◆ 단순한 암호 쓰지 않도록 주의=국내 메신저가 쓰는 패스워드는 인터넷에서 쉽게 구할 수 있는 암호 분석 프로그램을 이용하면 바로 뚫린다. 특히 숫자만으로 이뤄진 패스워드는 8자리를 써도 이를 알아내는 데 1분이 걸리지 않았다. 영어 소문자와 숫자를 조합한 패스워드도 1분30초 정도면 파악할 수 있었다. 김 교수는 "문자+숫자+문자로 구성된 패스워드를 쓰면 파악하기 어렵다"며 "패스워드를 정기적으로 바꾸고 PC방이나 학교 등 많은 사람이 함께 쓰는 컴퓨터에서는 메신저 접속을 하지 않는 것이 좋다"고 조언했다.
원 교수팀은 곧 이 연구 결과를 한국정보보호진흥원(KISA)에 보고할 예정이며 KISA는 이를 해당업체에 통보하게 된다. 이에 대해 SK커뮤니케이션즈.다음커뮤니케이션 등 메신저 서비스 업체들은 "어떤 분석 방식을 썼느냐에 따라 결과가 달라질 수 있다고 본다"며 "현실적으로 외국산 메신저보다 보안 기능이 떨어지지 않는다"고 주장했다. 업체들은 또 "메신저의 보안 실태를 점검해 미흡한 점이 있으면 보완하겠다"고 밝혔다.
RECENT COMMENT