[카테고리:] 생각

2022년 10월 15일, 카카오가 멈췄습니다. 데이터센터에 불이 나면서 카카오톡, 내비, 티스토리 등 카카오의 대다수 서비스가 장애를 일으켰습니다. 저는 이때 학교에서 수업을 들으면서 딴짓을 하고 있었는데, 갑자기 카카오톡이 안 보내집니다. 인터넷 문제인가 하고 네이버를 들어가 보니, 판교에 불이 났답니다. 그리고 며칠 동안 카카오톡을 쓰지 못했었습니다.

카카오는 1월 5일부터 이 사건에 대한 보상안으로 이모티콘 3종(1종 영구, 2종 90일 기간제), 톡서랍 플러스 1개월 이용권, 카카오메이커스 쿠폰팩을 지급한다고 밝혔습니다.

그러나 이 보상안을 두고 비판이 거셉니다. 그래서 그 이유를 알아보았더니, 이번 보상안이 보상을 빙자한 대규모 프로모션이라는 느낌을 지울 수 없었습니다.

대충 이모티콘 어쩌구하는 제목

이번에 지급된 이모티콘은 춘식이는 프렌즈 2, 토심이는 토뭉이랑 놀거야, 아기 망그러진 곰 이었습니다. 그런데, 춘식이를 제외한 나머지 2개의 이모티콘은 다운로드일부터 90일만 사용 가능한 기간제 이모티콘이었습니다. 물론 이모티콘이 귀엽기는 하지만, 굳이 기간제 이모티콘을 줬어야 하나라는 아쉬움이 남습니다.

대충 문제는 다른 거라는 제목

그러나 문제는 다른 곳에도 있었습니다. 톡서랍 플러스 1개월 이용권을 준 것에서 더 큰 논란이 되었습니다. 일단 저게 뭔지 모르는 사람들을 위해 설명을 잠깐 하자면, 카카오톡 대화 기록은 3일이 지나면 서버에서 사라집니다. 사진, 동영상, 파일 등도 일정 기간이 지나면 서버에서 삭제되어 이후에 앱 재설치를 하는 등 파일이 없어지면 찾을 수 없습니다. 톡서랍 플러스는 이 기록들을 보관하는 클라우드 서비스입니다. 한 달에 최소 1,900원(100GB), 용량에 따라 최대 8,900원(1TB)을 내야 쓸 수 있습니다.

이번에 제공하는 이용권은 100GB짜리이고, 카카오는 공지사항의 맨 아래에 이렇게 적어 놨습니다.

이용권 사용기간 종료 후에는 등록된 결제수단으로 이용료가 정기결제됩니다. 이용료 정기결제를 원하지 않는 경우 정기결제일 이전에 [My 구독 > 구독정보 > 구독중인 상품]에서 해지하여야 합니다.

이용권 기간이 끝나고, 해지를 하지 않으면 1,900원을 결제를 하겠다는 겁니다. 결제를 원하지 않으면 직접 해지를 해야 합니다. 저는 이 문구를 신청 이후에 보았습니다(신청하기 버튼과는 한참 떨어진 곳에 공지가 위치해 있었습니다).

아무리 봐도 프로모션 이상으로는 보이지 않았습니다. 대국민 사과를 이런 식으로 해도 되는 건가 싶습니다.

대충 해외 이용자는 못 받는다는 제목

이 모든 보상은 국내 이용자에게만 지급되고, 해외 이용자는 아무것도 받을 수 없었습니다. 톡서랍 이용권이야 정기결제를 해야 하니 그렇다고 치고, 카카오메이커스 이용권은 해외 이용자 입장에서 해외직구를 하는 것이니 그렇다고 치더라도, 이모티콘까지 지급하지 않았어야 할 이유를 찾지 못하겠습니다.

이 사건에 대한 지인의 의견을 들어 보았습니다.

이새끼들 반성하는거 맞긴 함……?

개 시발 에바라고 생각함 이게 시발 보상이냐 아니면 보상이라는 이름의 대국민 프로모션 광고냐

글쎄요... 대국민 프로모션 광고에 가까운 것 같습니다.

살면서 우리는 많은 사이트에 가입을 하고, 대부분은 같은 비밀번호를 사용합니다. 그리고 저도 그랬었습니다.

그리고 제가 사용하던 비밀번호는 털린 지 오래였습니다. 구글 계정이 잠기고, 네이버와 스팀에서는 해외 로그인 시도가 하루가 다르게 생기는 사고가 있었죠. 그 이후 저는 모든 사이트의 비밀번호를 일일이 바꾸기 시작했습니다. 지금 이 순간에도 어딘가에서는 비밀번호가 털리고 있습니다. 내 비밀번호는 털리지 않을 거라는 막연한 믿음은 나를 지켜주지 않는다는 걸 저는 몸소 깨달았죠.

그렇다면 비밀번호를 바꿔야 하는 이유에 대해 좀 더 자세히 알아보겠습니다.

여기 네 자리 숫자 비밀번호를 풀어야 열리는 자물쇠가 있습니다. 이 자물쇠를 여는 방법은 간단합니다. 자물쇠를 부수면 됩니다 0000부터 9999까지 전부 시도해 보면 됩니다. 이렇게 모든 경우의 수를 시도하는 방법을 브루트 포스 라고 합니다.

비밀번호가 네 자리 숫자로 되어 있다는 것을 알기 때문에 만 번만 시도해 봐도 된다는 것을 우리는 쉽게 알 수 있습니다. 하지만 비밀번호가 몇 자리인지 모르고, 알파벳이 들어가 있다면 어떨까요? 그렇다면 비밀번호를 뚫는 데 걸리는 시간은 아주 오래 걸릴 겁니다.

영문 대소문자, 숫자, 특수문자를 모두 사용한다고 가정할 때, 8자리 비밀번호는 단 8시간만에 풀 수 있지만, 12자리가 된다면 무려 40만 년이 걸립니다^[1]https://www.security.org/how-secure-is-my-password/.

KISA에서는 두 종류 이상의 문자 구성(영문 대문자, 소문자, 숫자, 특수문자 중 2종류 이상)으로 된 8자 이상의 문자열 또는 10자리 이상의 문자열을 권장하고 있습니다^[2]https://www.kisa.or.kr/2060305/form?postSeq=14&lang_type=KO.

이렇게 열심히 비밀번호를 만들었음에도 또 털립니다. 왜 그럴까요?

우리가 사이트에 로그인하는데 사용되는 비밀번호는 서버에 그냥 저장되지 않습니다. 예를 들어, 제가 네이버에 test1234라는 비밀번호를 설정했다고 칩시다. 그러면 네이버 서버는 test1234라는 값을 저장하지 않습니다. 서버는 이 값을 가지고 참깨빵 위에 순쇠고기 패티두장 특별한 소스 양상추 치즈 피클 양파까지 빠라빠빠빠 하는 과정(SHA-256 등)을 통해 나온 값을 저장합니다. 937e8d5fbb48bd4949536cd65b8d35c426b80d2f830c5c308e2cdec422ae2244 라는 값은 전혀 알아볼 수 없는 것처럼 보입니다. 그러나 test1234를 입력하면 937어쩌구라는 값이 나오게 되어 있으므로, 비밀번호를 제대로 입력한다면 이 값이 맞는지를 검증한 후 로그인에 성공하게 되는 것이죠. 그러나, 비밀번호가 단 한 글자라도 틀린다면 저 과정을 통해 나오는 값은 전혀 일치하지 않게 됩니다^[3]test1235를 입력하면 7e263eb7439f020a8e60f454fcd8193ffc071d9f7d54f7260073a4ee8458c23b라는 엉뚱한 값이 나오게 됩니다..

저 과정은 생각보다 시간이 오래 걸립니다. 그래서 해커들은 미리 이 과정을 다 해놓은 레인보우 테이블을 가지고 있습니다. 저 안에 내 비밀번호가 있다면? 그리고 내가 가입한 사이트가 털렸다면? 그대로 내 계정은 저들에게 넘어가게 됩니다. 그리고 다른 사이트에 같은 비밀번호로 가입했다면? 뭐 어떡해요 줄줄이 소세지 되는거지.

그래서 우리는 줄줄이 소세지가 되지 않기 위해서 비밀번호를 당장 바꿔야 합니다. 숫자, 대소문자, 특수문자가 모두 포함된 긴 비밀번호로 바꾸고, 사이트마다 다른 비밀번호를 써야 합니다. 그러나 이렇게 하기는 너무 어렵습니다. 그래서 KISA에서는 기본 문자열을 설정하고 사이트마다 특정한 규칙을 적용해 비밀번호를 만드는 방법을 권장하고 있습니다. 또 예를 들면, 기본 문자열을 sa2ke*로 설정한다면 구글에 가입할 때는 sa2ke*rnrmf, 네이버에 가입할 때는 sa2ke*spdlqj 등으로 설정하는 등의 방법을 쓸 수 있습니다.

이렇게 우리가 비밀번호를 당장 바꿔야 하는 이유에 대해 알아보았습니다. 하지만 이 창을 보고도 비밀번호 뒤의 특수문자를 하나씩만 바꾸고 있는 사케였습니다.