보안 연구원 Mark Burnett이 연구 데이터의 일부인 천만 개의 아이디와 비밀번호 쌍을 공개했다. 민감한 정보를 공개했다는 이유로 FBI에 검거될 것을 우려한 Burnett은 데이터를 수집한 방식과 공개하는 이유, 그리고 자신이 처벌받을 수 없는 이유에 대해 자세히 설명한 블로그 포스트를 함께 올렸다. 블로그 포스트에 그는 다음과 같이 밝혔다:
“아이디와 비밀번호에 관련된 데이터는 사용자의 행동 패턴 분석을 돕고 비밀번호 보안을 더 발전시킬 수 있다. 보안 연구 및 보안 강화를 위해선 이 데이터가 꼭 필요하다. 데이터가 악용될 소지가 없도록 내 최선의 조치를 취했고, 범죄를 목적으로 사용되도록 공개하는 것이 절대 아니다.”
데이터가 악용되거나 사생활을 침해하지 않도록 Burnett은 데이터를 손수 검토하여
- 이메일 주소에서의 도메인 부분,
- 회사 이름처럼 아이디/비밀번호의 출처를 알릴 만한 키워드,
- 아이디/비밀번호 사용자가 특정 인물이라고 유추해낼 수 있을 만한 키워드,
- 신용카드나 계좌번호로 보이는 금융 정보,
- 정부나 군대와 관련된 계정의 아이디/비밀번호
를 제거했다 (다만 수집한 데이터에 이메일 도메인까지 포함되었던 경우에만 정부, 군대 관련 계정임을 알 수 있었기에 전부 다 제거했다고 확신하지는 못한다고 덧붙였다). 또, 한때 누구든 마음만 먹으면 검색 엔진을 통해 암호화되지 않은 상태로 찾을 수 있던 만큼 공공연하게 퍼진 데이터, 그리고 그런 식으로 공개된 지 10년 가까이 지난 데이터에서 수집하고 정리한 결과물이기 때문에 거의 모든 비밀번호가 이미 효력이 없을 것이라고 말했다.
그동안 보안 관련 데이터는 비밀번호 쪽만 공개되었기 때문에 비밀번호와 함께 아이디까지 공개한 Burnett의 데이터는 굉장히 이례적이다.
관련 기사: TechCrunch, Mark Burnett’s Blog Post
