구글 G스위트(G-Suite)는 클라우드 기반의 비즈니스 도구로 메일이나 문서 등 다양한 응용 프로그램을 기업이나 학교 같은 단체별로 이용할 수 있는 솔루션인데요. 클라우드에 기반한 만큼 이용자는 웹브라우저를 통해 계정을 만들어 비밀번호를 입력해야만 쓸 수 있습니다.
때문에 G스위트의 계정별 비밀번호는 매우 엄격한 암호화 체계를 통해 관리되는데요. 구글은 기본적으로 비밀번호를 해시 함수로 암호화해 저장하고 있지만, 2005년 비밀번호를 변경할 수 있는 IT 관리자 콘솔에서 오류가 발생해 암호화되지 않은 비밀번호의 복사본을 관리자 계정에 그대로 남겨뒀다고 하는군요. 그러니까 10년 이상 암호화되지 않는 비밀번호가 G스위트 관리자 계정에 남겨 둔 셈입니다.
구글은 G스위트 관리자들에게 영향을 받을 수 있는 계정에 대해 안내했고, 해당 문제를 구글 클라우드 블로그를 통해 공개했는데요. 구글은 최근 G스위트의 가입 절차 문제를 해결하면서 2019 년 1월부터 보안 암호화된 인프라에 실수로 암호화되지 않은 비밀번호의 하위 집합이 최대 14일 동안 저장된다는 것을 알게 됐다고 밝혔습니다.
구글은 해당 문제를 수정했고, 암호화되지 않은 문제로 인해 부적절한 접속이나 악용 사례는 없다고 주장했습니다. 더불어 이 문제는 G스위트를 이용하는 기업과 단체 계정만 영향을 미칠 뿐 개인이 별도로 이용하는 구글 계정에는 영향을 미치지 않는다고 밝혔습니다.