텔레그램 신원확인 서비스, 무차별대입공격에 취약한 것으로 밝혀져

최근 텔레그램 측이 발표한 개인 신원확인 서비스인 ‘텔레그램 패스포트’가 브루털 포스 공격(Brute Force Attacks, 무차별대입공격)에 취약하다는 주장이 제기됐다.

암호 소프트웨어 및 서비스 개발업체인 버질 시큐리티(Virgil Security) 측이 발행한 보고서에 따르면 텔레그램 패스포트 서비스의 비밀번호 보호 기능에 문제가 있는 것으로 드러났다.

지난달 26일 텔레그램 측이 발표한 ‘텔레그램 패스포트’라는 서비스는 사용자의 개인 신원정보를 제3자와 안전하게 공유할 수 있는 서비스다. 

텔레그램에 따르면 사용자의 신원정보는 엔드투엔드 (end-to-end) 암호화 방식을 통해 탈중앙화된 텔레그램 클라우드에 보관된다. 이 클라우드에서 신원정보는 무작위로 구성되므로 해독이 불가능하다.  

하지만 최근 버질 시큐리티 측은 텔레그램의 이 같은 설명에 반박하는 보고서를 냈다. 이들에 따르면, 텔레그램은 SHA-512이라는 해시 함수를 사용하며, 비밀번호를 해싱(디지털 숫자열을 더 짧은 길이의 값이나 키로 변환하는 것)할 수 없게끔 되어 있다.

버질 시큐리티에 따르면 텔레그램이 사용한 SHA-512 해시 알고리즘은 비밀번호를 생성하기에 적합한 알고리즘이 아니다. 이 알고리즘은 솔트(Salted)가 추가된다고 해도 브루털 포스 공격을 통해 암호가 노출될 수 있는 위험성이 있다고 보고됐다. 

사용자가 암호화한 개인정보는 텔레그램 클라우드에 업로드된다. 제3자의 서비스 진위성을 확인할 필요가 있을 경우, 사용자는 그 정보를 해독한 후 서비스 자격 여부를 확인하기 위해 다시 암호화한다. 이 과정에서 사용자의 비밀번호 해시 테이블이 잠재적으로 해커의 공격에 노출되는 결과를  낳는다.

image: Shutterstock