메뉴 검색
Top
메뉴 닫기

주소를 선택 후 복사하여 사용하세요.

뒤로가기 새로고침 홈으로가기 링크복사 앞으로가기
블록체인 기술을 기반으로 한 텔래그램의 '패스포트' 서비스, 보안 상태는 최악? 2018-09-26
블록타임스TV닷컴 TaeyeonKim 기자 press88only@daum.net [작성자]

암호화 서비스 제공 업체 버질 시큐리티(Virgil Security)는 이번에 새로 발표된 텔레그램의 첫 블록체인 기반 기술 서비스 '텔레그램 패스포트'의 보안 상태가 우려된다는 내용의 보고서를 발표했다.

텔레그램 패스포트는 지날 달 처음 소개된 최신 서비스로 사용자들이 텔레그램 클라우드에 여권, 신분증 운전 면허증과 같은 개인 신원 서류를 업로드하면 해당 정보가 암호화되어 저장되는 것이다.  이 서비스는 반복적으로 개인 서류를 스캔해야 하는 번잡함을 해결하긴 위한 시도로 알려졌다. 

하지만 버질은 이러한 텔레그램의 새로운 기능이 전혀 안전하지 않다고 주장하고 있다. 텔레그램은 취약점이 많은 보안 해시 알고리즘 'SHA2-512'를 사용하고 있기 때문이다. 현재 SHA-512 해싱 알고리즘은 더이상 비밀번호 해싱용으로 사용되지 않는 알고리즘이다. 

과거 SHA-1 알고리즘으로 비밀번호를 해싱했던 이커머스 사이트 리빙소셜(LivingSocial)과 인맥 관리서비스 사이트인 링크드인(LinkedIn)은 각각 사이트 사용자 5천만, 8백만 명의 비밀번호가 유출되는 사건에 휘말렸다.  

심지어 솔팅, 즉 비밀번호를 암호화하여 사용자 이름에 암호를 추가한 뒤 무작위로 새 문자열을 넣는 방법을 사용하더라도 SHA-512의 경우 여전히 해커의 공격에 취약하다. 또한, 텔레그램은 디지털 서명을 사용하지 않는데 이것은 사용자의 데이터가 변조되면 해당 사용자를 포함한 그 누구도 알아차리지 못한다는 것을 의미한다. 

2016년 8월 이란에서 텔레그램 사용자 1천5백 명의 개인정보가 유출된 사건이 있었다. 당시 해당 사건은 핸드폰으로 본인 인증번호를 받는 서비스의 취약점을 노린 해커들로 인해 발생한 것으로 알려져 있다. 

따라서 2018년 텔레그램의 패스포트의 이러한 취약점을 타깃으로 하여 공격을 준비하는 해커들이 있을지도 모르는 상황이다. 제2의 텔레그램 사용자 개인정보 해킹 공격을 예방하기 위해서라도 패스포트 서비스의 보안 강화가 시급해 보인다. 

코이니스타 http://www.coinistar.com/?t=all&page=40&idx=185




관련기사
TAG

Block& Trend

Block& Interview

Block& Information

Popular articles