Have I Been Pwned (HIBP) 라는 사이트를 아시나요? 보안 쪽으로 관심있는 분이라면 한번쯤은 들어봤을 이름 Troy Hunt가 사이드 프로젝트로 시작한 사이트인데요. 현재는 FBI부터 NCA 및 여러 나라의 정부 기관들과 협업하며 전세계에서 일어난 데이터 침해 사건을 기반으로 개인이 사용하는 이메일, 비밀번호가 노출된 적 있는지 검색할 수 있게 만들어준 사이트입니다.

최근에 Troy Hunt가 HIBP를 운영하면서 겪은 지난 10년 간의 이야기를 블로그 글로 풀었는데요. 그 글의 의역/요약본입니다.

---

HIBP의 시작

• 개인적인 호기심으로 시작한 프로젝트

• 몇몇 사람들이 사용해볼 것이라고 생각했으나 이렇게까지 성장할 줄 몰랐음

이름의 유례

• 사실 웹 사이트 만들 당시 흔한 단어들이 이미 다 선점 당한 상태였으며 당시에 일종의 밈이었던 "Pwned"라는 단어를 재미로 사용함 (다시 말하지만 이렇게 큰 사이트가 될 줄 몰랐음)

• 이후 "Pwned"라는 단어는 이 사이트를 대표하는 동시에 보안쪽에서 자주 사용하는 단어가 됨

HIBP의 성장과 대중의 인식

• HIBP는 운이 좋게도 여러 매체에서 다뤄졌으며 개인이 자신의 데이터가 유출되었는지 확인하는 사이트로 자리매김하게 됨

• 인터넷을 형성한 사이트 중 하나로 소개되면서 언론과 대중에게 좋은 인식을 받게 됨

개인적인 경험

• 미국 의회에서 인터넷 상 신원 확인 방법과 그것이 유실되었을 때의 영향에 대해 증언하는 말도 안되는 경험을 함

  • 사이드 프로젝트를 운영하면서 누구나 한번 쯤은 미국 의회에 가잖아요? 😏

• 2019년 경 추진했던 M&A 프로젝트 스발바르. 개인적으로 여러가지 일이 겹치며 번아웃에 가까웠으며 결론적으로 모든 M&A 협상이 결렬되면서 HIBP에 임하는 태도, 나아가서 커리어 전반적으로 무엇을 중요하게 생각하게 되는지 생각해보게 된 계기가 됨

HIBP의 영향

• FBI, NCA, 여러 나라들과 협업하며 여러 사이버 보안 문제들을 해결하는데 몰두하고 있음

• Pwned Passwords 기능으로 이메일을 넘어서 비밀번호가 유출되었는지 검색할 수 있게 함

  • (이는 개인이 사용하는 비밀번호가 단순 브루트 포스 공격에 사용될 수 있음을 의미)

  • (쉽게 말하면 자주 사용하는 비밀번호를 유지하면 내 계정이 누군가에게 해킹될 수 있다)

HIBP를 운영하면서 얻은 딜레마

• HIBP는 보안을 위해 만들어진 사이트지만 사실 그 데이터는 사이버 보안 공격의 결과물임. HIBP를 운영하는데 관련된 법적, 윤리적 고려 사항이 많았음

• 가끔 개인이 "데이터 부당하게 수급하는 거 아니냐?"라는 질의를 많이하는데 애초에 데이터는 협력 단체로부터 받고 있음. 이를 위한 투명성과 보안 관련 교육에 좀 더 힘써야겠다는 인식을 받음

미래와 개인적 성장

• 10년 간 운영하면서 HIBP를 기업으로 키울 생각을 안한 것은 아니지만, 그렇다고 하고 싶지도 않았음. 지금도 단 3명이 이 업을 이어나가고 있음

• 하지만 난 HIBP가 나보다 더 오래 기억되기를 원함. 그래서 팀 빌딩을 고려하고 있음

---

개인적으로 저는 Troy Hunt님을 해외 개발자 컨퍼런스에서 만났던 적이 있는데요. 당시에 HIBP는 6~7년 정도 된 서비스였고 생각보다 많은 사이트들이 보안을 신경 쓰지 않고 있다는 것을 알게 됐습니다. 그가 보여준 짧은 데모에서 이런 사이트들에서 데이터 탈취가 얼마나 쉽고 아무나 할 수 있다는 것을 깨달았을 때 적지 않은 충격을 받았어요.

Troy Hunt님의 블로그를 보시면 10년 동안 사이트를 운영하면서 겪은 여러가지 에피소드들이 있는데 나름 도움되는 글들이 많습니다. 예를 들면, 트래픽 터졌을 때의 경험, DB 서비스 정할 때의 의사 결정 과정, M&A를 추진했던 경험 등 개발자들이 관심있어 할 만한 내용들이 좀 있으니 궁금하신 분들은 가끔 읽어보는 걸 추천해요!

원글: https://www.troyhunt.com/a-decade-of-have-i-been-pwned/