2013년 10월 7일 월요일

“어도비 고객이라면 패스워드 꼭 바꿔라”


어도비 프로그램 해킹 사건이 생각보다 심각하다고 해 간단히 메모합니다. 평소 친하게 지내는 어느 해커가 토요일인 그제 전화를 걸어왔습니다. 어도비 프로그램 소스코드를 빼간 해커들이 장난을 치기 시작했다, 그 친구들은 암호를 풀 수 있는 고수들이다, 이건 매우 중대한 보안 위협이다, 널리 알려달라… 친구는 저한테 이렇게 알려줬습니다.

파이낸셜타임스. 해커들이 어크로뱃 리더 컴퓨터에 침투해 고객 290만명의 암호화된 신용카드 정보 등을 빼갔고 PDF 리더 소스코드를 훔쳐갔다, 해킹 공격의 새 시대가 열릴 것이다, 이 건은 2004년 마이크로소프트 프로그램 코드 해킹 이래 가장 심각한 사건이다, 어도비는 고객들에게 경고문을 보내는 등 피해를 줄이려고 애를 쓰고 있다.

어도비는 고객 데이터가 암호화돼 있어 해커들이 판독할 수 없다고 설명했다. (제 친구 해커는 이 부분에 맹점이 있다면서 해커들이 일부 소스코드 암호를 해독해 장난 치기 시작했다고 말했습니다. 어도비 고객이라면 최소한 패스워드는 바꿔야 한다고 강조했습니다.) 범용 소프트웨어 소스코드가 해커들 손에 넘어갔으니 심각한 문제라고 생각합니다.




USA투데이. 어도비는 기업고객들의 우려를 가라앉히기 위해 몇 가지 조치를 취했다. 일단 로그인 한 다음엔 패스워드를 바꾸라고 권고했다. 어도비는 2주간에 걸쳐 계정이 털린 고객들에게 안내문을 보낼 예정이다. 어도비 CSO는 현재까지는 어도비 제품 소스코드가 빠져나가 문제가 된 사례는 발견하지 못했다고 말했다고 합니다.

마블 시큐리티 CTO가 말하길 “소스코드를 알면 공격 방법을 알아내기가 100배 쉬워진다”고 말했다. 콜드퓨전 소스코드가 빠져나갔다는 게 특히 위험해 보인다. “콜드퓨전은 새로운 모바일 앱에 쓰이는 HTML5 표준을 지원한다. 따라서 콜드퓨전 소스코드를 입수하면 기업의 웹 앱이나 모바일 앱을 공격하기가 훨씬 쉬워진다.” 이런 얘기도 있다.


친구 해커한테 전화를 걸어 확인했습니다. 암호화된 고객 신용카드 패스워드를 알아내 돈을 빼간 사례가 이틀새 10여건에서 50여건으로 늘어났다고 합니다. 이 해커는 “어도비 고객이라면 반드시 패스워드를 바꿔야 한다”, “신용카드 패스워드도 바꿔야 한다”, “가능하면 그 신용카드를 정지시키고 새로 발급받는 게 좋다”고 알려줬습니다. [광파리]