이베이, 1억4500명 개인정보 해킹 당해…비밀번호 즉시 바꿔야

인터넷 경매 사이트인 이베이(ebay)는 21일(현지시간) 약 1억4500만 명의 자사회원들에게 비밀번호 변경을 요청했다. 이는 이베이 회원들의 암호화된 비밀번호와 다른 정보들이 해킹된 것에 대한 후속조치다.

해킹된 데이터에는 금융정보는 포함되지 않았다고 이베이는 밝혔다.

이베이는 지난 2월 말경에서 3월 초 사이에 해킹이 이루어졌다고 말하며 약 2주전에 그 사실을 발견했다고 밝혔다. 해커들은 몇몇 이베이 직원들의 로그인 정보를 해킹해 회사 네트워크에 접근 했으며 회사는 현재 수사당국과 같이 조사 중이라고 이베이 대변인은 전했다. 또한 고객 금융 정보는 해킹 되지 않았다고 덧붙였다.

이베이는 대대적인 조사를 진행했으며 현재 도용된 정보로 이루어진 거래나 신용카드 정보에 접근한 증거들은 발견되지 않았다고 밝히며 금융정보는 별도의 암호화된 형식으로 따로 저장되어 있다고 말했다.

해킹된 이베이 정보들에는 비밀번호, 이메일 주소, 집주소 그리고 전화번호와 생년월일 등이 포함되어 있으며 이베이는 다른 웹사이트와 같은 로그인 비밀번호를 사용하는 회원들에게 비밀번호를 변경하도록 하고 있다.

기술 시장조사 기관인 가트너(Gartner)의 보안 분석가인 아비바 리탄에 따르면 "이번 해킹은 불길한 징조일 수 있다. 모든 회원 정보들이 해킹되었고 점차적으로 이는 도용되는 피해로 이어질 것"이라고 말하며 '해커그룹들은 동유럽 근처에서 아주 잘 조직된 팀으로 이루어져있다. 암시장을 만들고 해킹한 정보를 전세계로 유통할 것 이다. 그리고 정보들은 아주 빠른 속도로 팔리게 될 것'이라고 말했다.

또 다른 보안업체인 쉐이프 시큐리티(Shape Security)의 프로덕트 보안 임원인 마이클 코티스는 "해커들은 이베이 피해자들이 자신의 계정과 패스워드를 동일하게 사용하는 다른 사이트들의 정보를 손 쉽게 가져올 수 있을 것이다."이라고 말하며 '이베이는 해킹 당하기 아주 쉬운 방식으로 비밀번호를 보안하고 있다'고 했다.

'대체적으로 비밀번호 보안에는 암호화 방식과 해싱방식이 널리 이용되는데 이베이가 사용하는 암호화 방식은 해독키로 접근해 실제 비밀번호를 볼 수 있다. 해싱방식의 경우 비밀번호가 정확한지 아닌지 확인하는 단계가 있으며 실제 비밀번호의 플레인텍스트(암호문의 원문)를 해커나 기업에게 공개하지 않는다.'라고 덧붙였다.