본문 바로가기
Security Essay

비밀번호 MD5로 저장한 유럽 기업 벌금 부과

by _Jay_ 2023. 1. 17.
반응형

 

 

최근 개인정보보호위원회에서 안전조치 미흡이나 개인정보 유출 등 개인정보보호법을 위반한 기업들을 전수조사하여 과태료를 부과하고 있다는 기사를 종종 전해드렸습니다. 그런데 국내 사례들만 전해드리다 보니 한국에서만 유독 기업을 대상으로 과태료 부과를 하는게 아닌가 하는 의문을 제기하는 분들도 계셨는데요.

 

그래서 이번에는 해외에서 개인정보를 보호하는데 안전조치를 위반하여 벌금을 부과한 사례를 가져와봤습니다. 이번 사례에서는 유럽의 한 기업에서 비밀번호를 MD5 알고리즘을 사용하여 저장해서 벌금이 부과되었는데 어떤 내용인지 가볍게 짚고 넘어가 보도록 하죠.

일단 유럽에는 한국의 개인정보보호법처럼 GDPR(General Data Protection Regulation, 유럽 연합 일반 데이터 보호 규정)이 있습니다. 사실 최근 개정된 개인정보보호법이 이 GDPR을 본따서 만들어졌다고 해도 과언이 아닌데요. 그만큼 유럽이 개인정보 보호에 있어서는 상당히 규제가 강하다고 생각하시면 됩니다. 

 

GDPR의 적용을 받는 유럽 국가 중 하나인 프랑스에서는 안전조치를 위반한 전력 공급업체에게 60만 유로를 부과했다고 하는데, 한국 돈으로 8억이 넘는 돈이니 상당히 많은 벌금이죠. 오히려 국내보다 해외에서 개인정보 보호에 좀 더 엄격하다는 것을 볼 수 있습니다.

 

출처: The Hacker News


해당 업체에서 위반한 내용을 살펴보면, DB에 비밀번호를 저장할 때 안전하지 않은 해시 알고리즘인 MD5를 사용했다고 합니다. 일단 해시함수는 임의의 문자열을 고정된 길이의 문자열로 바꿔주는 역할을 한다는 것은 다들 알고 계실거라 생각하는데요.

 

보통 비밀번호는 역연산이 불가능한 해시함수를 사용하여 해시값 자체를 DB에 저장하게 됩니다. 그런데 MD5와 같은 약한 강도의 해시함수는 쉽게 역연산이 가능하기 때문에 더이상 권고되지 않는 알고리즘 입니다. 이러한 부분으로 인해 안전조치를 위반하였다고 판단하여 해당 기업에 벌금을 부과한 셈이죠.

 

 

French Electricity Provider Fined for Storing Users’ Passwords with Weak MD5 Algorithm

French data protection watchdog has fined the country's largest electricity provider Electricité de France (EDF) €600,000 for using insecure MD5 hash

thehackernews.com

 

위와 같이 안전하지 않은 해시함수 알고리즘 사용은 국내에서도 마찬가지로 과태료 부과 사유가 됩니다. 아직까지 비밀번호 암호화에 MD5를 사용하여 과태료를 부과한 사례는 보이진 않는데요. 하지만 위의 프랑스의 업체처럼 굉장히 오래된 시스템에서는 MD5를 여전히 사용하고 있을 수 있습니다.

 

혹시라도 국내에서 마찬가지로 그런 기업이 있다면 벌금을 내기 전에 바로 고쳐야 하겠죠. 이에 대해 KISA에서 안전한 암호화 알고리즘 이용에 대한 기준을 제시한 가이드가 있으니 관심 있는 분들은 참고하시면 좋을 것 같습니다. 오늘도 읽어주셔서 감사합니다.

 

 

반응형

댓글