Breaking
사이버 보안(Cybersecurity)
구글 지스위트 일부 사용자 계정…14년간 암호해싱 안된채 저장
2019-06-28 11:37:24
김지연
▲구글의 지스위트 계정 일부가 해시 처리되지 않은채 10년 넘게 저장돼온 것으로 드러났다(사진=ⓒ123RF)

[라이헨바흐=김지연 기자] 구글의 기업용 서비스인 지스위트 계정 일부가 지난 14년간 해시처리 되지 않은채 일반 텍스트인 평문 형태로 저장된 것으로 드러났다.

구글은 지난 21일 이는 고객들이 도메인 어드민을 통해 암호를 열람할 수 있도록 해주는 기존의 기능 때문으로 인해 발생한 일이라고 밝혔다.

이번에 발견되지 않았더라면, 향후 많은 기업용 지스위트 사용자들의 개인 정보가 충분히 노출될 가능성이 있었다는 의미다.

▲해싱은 알고리즘을 통해 비밀번호를 암호화하고, 해시함수 방식으로 스크램블해 저장하는 과정을 일컫는다

 

암호 해싱

구글측은 지난 2005년 도메인 어드민에 비밀번호 열람 기능이 추가되면서, 해시처리 되지 않은 비밀번호가 복사돼 저장되고 있었던 것으로 나타났다고 밝혔다.

그러면서 이는 구글이 고수하는 보안 수준에 못미치는 것이라며 자사의 실수를 인정했다.

그러나 이처럼 암호를 해싱(암호화)하지 않고 평문으로 남겨두는 것은 구글처럼 거대의 플랫폼 개발업체가 쉽게 간과할 수 있는 일이 아니라는 점에서 우려가 제기된다.

사실 업체의 규모를 막론하고, 고객의 보안을 보장하고 책임질 수 있도록 사용자 계정을 암호화해 저장하는 것은 모든 기술 업체들이 따라야할 표준이다.

특히 암호 해싱이 개발자들에게 어렵거나 복잡한 과정을 요하는 것도 아니며, 게다가 많은 산업 분야에서 선구자의 길을 닦고 있는 구글이 이러한 문제를 일으켰다는 것은 큰 위험성으로 다가온다.

해싱은 엄밀히 말하면 일방향(단방향) 암호화 프로세스로 알고리즘을 통해 비밀번호를 암호화하고 해시함수라 불리는 방식으로 특별한 순서없이 스크램블해 스토리지 시스템이나 디스크에 저장하는 과정을 일컫는다. 구글의 입장에서는 간단한 방식이다.

이와 관련해 전문가들은 구글이 가장 첫 번째 과정을 간과했거나 가장 중요한 과정인 저장된 자격 증명을 해싱하는 작업을 소홀히 했을 것으로 추측하고 있다.

다행히 구글은 자체 조사를 통해 해당 비밀번호가 오용됐다는 증거는 찾지 못했다고 밝혔다. 암호화된 저장 디스크가 아니였다면, 현재 상황은 정반대로 달라졌을지도 모른다.

구글이 엔지니어링 및 클라우드 트러스트 담당 부사장인 수잔 프레이는 "회사 블로그를 통해 해시함수의 효율성은 일방향이라는 특성에 있다"고 설명했다. 비밀번호를 스크램블하는 것은 간단하지만, 이를 해독하는 것은 거의 불가능하다는 설명이다.

이에 누군가가 스크램블된 비밀번호를 알아낸다면, 진짜 비밀번호는 다시 복구될 수 없게 되는 것이다.

결국 암호 해싱의 단점은 비밀번호를 잊어버렸다고 해도 해당 비밀번호가 무엇이었는지 알아낼 수 없다. 유일한 방법은 1회만 유효한 임시 비밀번호로 재설정한 뒤, 다시 새 비밀번호를 설정하는 것이다.

▲구글은 2005년 지스위트 도메인 관리자가 사용자 암호를 설정할 수 있도록 했다(사진=ⓒ123RF)

지스위트 보안 문제

IT 매체 레지스터는 이와 관련, 구글이 일부 지스위트 사용자 암호를 해시처리 하지 못한데 대한 두 가지의 요소들을 분석했다.

먼저 첫 번째는 앞서 언급된 도메인 어드민이라는 기존 기능이다. 구글은 2005년 지스위트 도메인 관리자가 계정을 감독하는 관리 콘솔을 통해 지스위트 사용자 암호를 설정할 수 있도록 했다.

이 기능은 조직의 IT 부서가 사용자들이 로그인할 수 있도록 암호 설정의 간소화 작업을 돕기 위한 목적이었지만, 결국은 이번과 같은 문제를 초래했다.

관리자가 사용자의 암호를 설정하고 복구하기 위해서는 해시되지 않은 암호 접근 권한이 필요했기 때문이다.

프레이 부사장은 "이 기능이 기업용 제품인 지스위트에서는 매우 일반적인 기능 요청이었다"면서 "관리 콘솔에 있는 툴을 통해 관리자는 회사 사용자의 암호를 업로드하거나 수동으로 설정할 수 있었다. 그러나 이러한 방식으로 암호를 복구하는 기능은 더 이상 존재하지 않는다"고 설명했다.

그는 "그러나 2005년 이 기능을 구현할때 관리 콘솔에 해시처리되지 않은 비밀번호의 복사본이 저장되는 오류가 발생한 것으로 보인다"며 "이러한 관행은 자사의 기준에 부합하지 않다며, 현재는 문제가 수정돼 영향을 받은 비밀번호에 대한 부적절한 접근이나 오용의 증거는 발견되지 않았다"고 덧붙였다.

또 다른 문제는 사용자가 자신의 계정에 로그인하고 한 번에 14일 동안 저장시 디스크에 남아있던 암호 기록이다. 물론 이 암호들 역시 평문 상태로 저장됐다.

이와 관련해 프레이 부사장은 "새로운 지스위트 고객 등록 작업 문제를 해결하는 과정에서 올해 1월부터 암호화된 인프라에 실수로 암호화되지 않은 비밀번호의 하위 세트가 저장됐다는 사실을 발견했다"며 "이 비밀번호들이 최대 14일 동안 저장됐다. 현재는 문제가 수정된 상태"라고 말했다.

이 역시 영향을 받은 비밀번호에 대한 부적절한 접근이나 오용의 흔적은 발견되지 않았다는 것이다.

다만 보안 감사를 지속적으로 실시해 이번 사례가 다른 문제들과 관련성이 없이 격리된 건이라는 점을 명확히 할 것이라고 강조했다.

[라이헨바흐=김지연 기자]