| [ garbages ] in KIDS 글 쓴 이(By): cookie () 날 짜 (Date): 2011년 08월 05일 (금) 오후 01시 04분 09초 제 목(Title): Re: 아이핀은 주민번호의 대안이 아니다. > XXXXXX-X00000X 에서 0표한 부분만 모르는데, 해시값을 만들어 내는 방법을 > 안다면, 순서대로 때려 넣어 보면 됩니다. 그리고 뒷 부분 > X000000X 중, 이미 X0000 부분은 어떻게 조합되는지 다 방법이 나와 있습니다. > > 물론, 실제는 주민번호를 사용하는 케이스가 더 있기 때문에 거기서 매핑을 > 뽑아 냅니다만. > 회원정보 중 이미 생일이라는 것을 받은 경우가 많기 때문이죠. 지금 우리는 실명/생일/주소를 서버에 보관하지 않는 것을 전제로 논의를 진행하는데 갑자기 생일이 어디서 나옵니까? 왜 하필 생일은 보관해야 한다고 생각하시는 지? 성인 사이트 입니까? 그리고 결정적으로 실명은 어떻게 알아냅니까? 분명히 전제에서 현재 회원들의 생일과 실명은 HMAC hash 로만 저장하고 clear text형태로는 저장하지 않기로 한거 아닙니까? 그리고 실명 확인 서비스를 다뤄본 적이 없으신 거 같은데 실명 확인 서비스에 service request 를 보내려면 "실명"과 "주민번호"를 같이 입력으로 query 를 보내야 Y/N 의 형태로 응답을 받습니다. 그러니 실명이 없으면 설사 주민번호가 유효한 숫자라도 N의 응답 가 나요지요. 그러니 실명을 가지고 있지 않으면 위에서 설명하신 방법으로는 반복적 시행착오로 주민번호 유효 여부를 결코 알아 낼 수 없습니다. 그러니 실명과 주민번호 쌍을 알아내려면 우리나라 사람 모두의 실명이름 종류의 조합과 모든 가능한 생일과 (3만 정도?) 그리고 뒷자리의 6자리의 유효한 조합 (10 만 정도) 을 모두 시험래봐야 하는 거죠. 아무리 적게 잡아도 세계 인구수보다는 조합이 많을 겁니다. 그러면 그 서비스를 이용하는데 내가 알기론 트랜잭션 마다 몇백원 징수하는 하는 유료 서비스인 걸로 아는 저 조합을 모두 시험해보려면 아마 이건희 정도의 재벌도 휘청하지 않을까요? 설사 실명과 생일을 어떻게 입수 했다고 해도 조합봐야 하는 미지의 숫자의 조합이 최소 10만 가지는 되는데 한번 트랜잭션에 100원씩만 쳐도 최소 1000만원이 드는 군요. 오호라 실명과 생일을 가지고도 번호 하나 알아내는데 1천만원이라... 싸군요 :) 그리고 이 방법과 제가 제안한 HMAC과 무슨 관계가 있습니까? 이건 설사 성공한다고 해도 현재 "실명확인 서비스"의 문제는 될수 있어도 HMAC 방식과는 아무런 관련이 없는 문제 일 뿐이지요. > 그리고 iPin 이 이미 HMAC 형태로 보관되고 있는 주민번호라는 말이었고, > 이것을 역으로 추정하는 것은 매우 쉽다는 말입니다. HMAC은 최소 16 바이트~ 32 바이트 의 데이터 입니다. 아이핀은 12자리의 10진 숫자이죠. (체크 디지트 제외) 어떻게 128 비트(16바이트)의 이진 숫자 를 12자리의 10진 수로 표현하죠? 그러니 주민번호 -> 아이핀은 가능해도 아이핀 -> 주민번호 변환은 주민번호가 등록된 DB 에 조회하지 않고는 말이 안된다는 거 아시겠지요? 그리고 HMAC에 대해 잘모를시는 모양인데 secret key 가 없으면 무작위 추정이 맞는지 틀리는 지 조차도 판단할수 없습니다. 좀더 HMAC에 대해 공부를 해보시기를 권해 드립니다. |