모질라 개발자들의 이메일 주소와 암호화된 패스워드 유출 사건 발생

• 모질라 재단에서 운영하고 있는 모질라 개발자 네트워크(MDN, Mozilla Development Network)에서 
  약 76,000개의 이메일 주소와 4천개의 암호화된 패스워드가 유출되는 사고가 발생('14.8.1)
      ※ 모질라 재단(Mozilla Foundation): 자유 소프트웨어 기반의 모질라 프로젝트를 지원하고 이끌기 위해 
          설립된 비영리 재단으로 파이어폭스 웹 브라우저를 만든 것으로 유명함
      ※ 모질라 개발자 네트워크 사이트: http://developer.mozilla.org

 

주요내용

• 모질라 개발자 릴레이션 디렉터인 스토미 패터스가 지난 1일 모질라 블로그를 통해 데이터베이스 결함으로 
  수천명의 이메일 주소와 암호화된 패스워드가 유출되는 사건이 발생했음을 공지
• 이 사건은 10일 전 모질라 개발자의 제보를 통해 6월 23일부터 30일 동안 모질라 개발자 네트워크 사이트의 
  데이터베이스 영구 삭제 프로세스가 동작하지 않아 정보가 유출된 것으로 확인함
     - 그 결과, 해당 기간 동안 데이터베이스 덤프 파일에 존재한 76,000명의 이메일 주소와 4,000명의 암호화 된
       패스워드가 유출되는 사건이 발생
      ※ 데이터베이스 덤프(dump): 현재 데이터 테이블의 구조와 입력된 레코드를 저장하는 방법으로 백업할 
          때도 사용 가능함
• 현재 스토미 패터스는 데이터베이스 덤프 파일을 즉시 삭제 및 덤프 파일 생성을 중단 했으며, 모질라 서버로
  의심스러운 악성 활동은 발견되지 않음을 확인했지만 어떤 접근이 있었는지는 확신할 수 없다고 설명
• 그리고 정보가 유출된 개발자에 한해서 해당 유출 사실을 메일로 통보했으며, 가급적이면 패스워드를 바꿀 
  것을 권고
     - 유출된 패스워드는 솔트(Salt) 방식으로 암호화되었기 때문에 무차별 대입 공격(Brute Force Attack)을 
       통해 정보를 완전히 빼내는 것은 어렵다고 설명
      ※ 솔트: 임의의 문자를 암호 앞이나 뒤에 넣어 길이를 길게 하고, 원래 암호에 추가 정보를 넣어서 암호화
          하는 방법
      ※ 무차별 대입 공격: 특정한 암호를 풀기 위해 가능한 모든 값을 대입하여 공격하는 것을 의미함
     - 또한 암호화된 패스워드가 공개된 계정에 한해서 웹 사이트 인증에 사용할 수 없도록 조취를 취했기 때문에,
       암호를 푼다고 해도 이를 악용할 수 없을 것이라고 밝힘
• 모질라는 이와 같은 사고에 대해 공식적 사고 및 피해 사용자들에게 유출 사실을 통보하는 것에 그치지 않고, 
  다시는 이런 일이 발생하지 않도록 만반의 준비를 하겠다고 공식적으로 발표함

 

[출처]
1. http://www.theguardian.com/technology/2014/aug/05/mozilla-leak-developer-email-addresses-passwords-firefox
2. https://blog.mozilla.org/security/2014/08/01/mdn-database-disclosure/