그라바타

"오늘의AI위키"는 AI 기술로 일관성 있고 체계적인 최신 지식을 제공하는 혁신 플랫폼입니다.
"오늘의AI위키"의 AI를 통해 더욱 풍부하고 폭넓은 지식 경험을 누리세요.

1. 개요
2. 기능
3. 메타데이터
4. 역사
5. 보안 문제 및 데이터 유출
- 5.1. 보안 취약점
- 5.2. 데이터 유출 사건
참조

1. 개요

그라바타는 이메일 주소를 기반으로 사용자가 디지털 아바타를 등록하고 연결할 수 있는 서비스이다. 블로그 댓글 등에서 이메일 주소와 연결된 아바타를 표시하며, 워드프레스, 레드마인 등 다양한 플랫폼에서 지원된다. 각 아바타는 미국영화협회 스타일의 연령 등급을 가질 수 있으며, 웹마스터는 표시되는 콘텐츠를 제어할 수 있다. 그라바타는 MD5 해시 함수를 사용하여 웹 서버에서 아바타를 로드하지만, 이는 보안에 취약하다는 것이 밝혀졌다. 2020년 데이터 유출 사건으로 인해 사용자 정보가 유출되기도 했다.

더 읽어볼만한 페이지

아바타 - 프로테우스 효과
프로테우스 효과는 가상 환경에서 아바타 외형이 사용자의 행동, 태도, 자신감에 영향을 미치는 심리학적 현상으로, 긍정적 활용 가능성과 함께 윤리적 문제 및 악용 위험성도 내포한다.
아바타 - 픽크루
픽크루는 최대 50개의 레이어와 파트로 구성되어 750개의 아이템을 포함하는 이미지 제작기로, 사용자는 이를 통해 특정 크기의 이미지를 제작할 수 있으며, 창작자는 픽크루 및 생성된 이미지에 대한 권한을 가진다.
워드프레스 - 워드프레스닷컴
워드프레스닷컴은 오토매틱에서 2005년 출시한 블로그 호스팅 서비스로, 무료 및 유료 요금제를 제공하며 블로그 운영을 위한 가입이 필요하지만 2024년 사용자 데이터 판매 논란이 있었다.
워드프레스 - MySQL
MySQL은 1994년 스웨덴에서 개발을 시작하여 현재 오라클에 인수된 관계형 데이터베이스 관리 시스템으로, 오픈 소스 및 상업용 에디션을 제공하며 ANSI SQL 99 표준을 지원하고 다양한 스토리지 엔진과 프로그래밍 언어 API를 지원한다.
자유 소프트웨어 - 김프
김프(GIMP)는 GNU 프로젝트에서 개발된 크로스 플랫폼 기반의 무료 오픈소스 래스터 그래픽 편집기로, 다양한 운영체제를 지원하며 풍부한 기능을 제공하지만 사용자 인터페이스에 대한 비판과 일부 기능의 부족함에 대한 평가도 존재한다.
자유 소프트웨어 - PHP
PHP는 라스무스 러도프가 개발한 범용 스크립팅 언어로, 웹 개발에 널리 사용되며 LAMP 아키텍처의 핵심 요소이다.

그라바타 - [IT 관련 정보]에 관한 문서
기본 정보
Gravatar 로고
URL	gravatar.com
유형	아바타 관리 공유 서비스
상업적 여부	예
등록	임의
소유자	Automattic
제작자	톰 프레스턴-워너

2. 기능

그라바타는 이메일 주소의 MD5 해시 함수를 포함한 URL을 통해 그라바타 웹 서버에서 불러온다. 그러나 이 방법은 보안에 취약한 것으로 알려져 있다.^[23]

2. 1. 아바타 등록 및 표시

그라바타에서 사용자는 이메일 주소를 기반으로 계정을 등록하고 계정과 연결할 디지털 아바타를 업로드할 수 있다. 그라바타 플러그인은 인기 있는 블로그에서 사용할 수 있다. 사용자가 이메일 주소가 필요한 블로그에 댓글을 게시하면 블로깅 소프트웨어는 해당 이메일 주소에 그라바타의 아바타가 연결되어 있는지 확인한다. 그렇다면 댓글과 함께 그라바타가 표시된다. 그라바타 지원은 기본적으로 워드프레스 2.5버전^[30] 및 웹 기반 프로젝트 관리 애플리케이션 레드마인 버전 0.8부터 제공된다.^[31] 그라바타에 대한 지원은 드루팔 및 MODX와 같은 저작물 관리 시스템용 타사 모듈을 통해서도 제공된다.^[32]^[33]

그라바타 이미지의 화소는 최대 2048픽셀이며 기본적으로 80x80픽셀로 표시된다.^[34] 업로드된 아바타가 더 크거나 작으면 아바타의 크기가 적절하게 조정된다. 각 그라바타는 미국영화협회 스타일 권장 연령으로 평가되어 웹마스터가 웹사이트에 표시되는 그라바타의 콘텐츠를 제어할 수 있다.

웹마스터는 또한 사용자가 등록된 그라바타가 없을 때 자동으로 Identicon을 표시하도록 시스템을 구성할 수 있다.

2. 2. 콘텐츠 관리 시스템(CMS) 연동

그라바타는 워드프레스 2.5버전^[30] 및 웹 기반 프로젝트 관리 애플리케이션 레드마인 버전 0.8부터 기본적으로 지원된다.^[31] 드루팔 및 MODX와 같은 저작물 관리 시스템용 타사 모듈을 통해서도 그라바타를 지원한다.^[32]^[33]

2. 3. 연령 제한 및 아이덴티콘

각 그라바타는 미국영화협회 스타일의 연령 제한 등급으로 평가되어, 웹마스터가 자신의 웹사이트에 표시되는 그라바타의 콘텐츠를 제어할 수 있다.^[34]

웹마스터는 사용자가 등록된 그라바타가 없는 경우 자동으로 아이덴티콘을 표시하도록 시스템을 구성할 수도 있다.

3. 메타데이터

그라바타 사용자 프로필은 hCard, JSON, XML, PHP, vCard 등 다양한 메타데이터 표준과 QR 코드를 통해 사용할 수 있다. JSON, XML, PHP는 휴대용 연락처 표준을 따른다.^[35]^[24]

4. 역사

한동안 그라바타 서비스는 유지되지 않았다. 제작자는 그라바타의 인기가 높아지고 더 많은 대역폭이 필요함에 따라 새 버전의 서비스 작업으로 바빴다. 2007년 2월 16일^[36] "그라바타 2.0"이 출시되었다. 개선된 서버 스크립트 외에도, 사용자들은 이미 웹에 호스팅된 이미지를 자르고 사용할 수 있는 기능과 같은 다른 개선 사항을 인지했다. 계정당 두 개의 그라바타를 지원하는 기능이 추가되었으며, 사용자는 쉽게 전환할 수 있었다. 또한, 무제한 이메일 주소 및 그라바타를 계정당 사용할 수 있는 "그라바타 프리미엄"도 출시되었다.

2007년 6월 11일, 톰 프레스톤-워너는 그라바타 2.0 출시 이후 32,000명의 새로운 사용자가 가입했다고 발표했다.^[37]

2007년 10월 18일, 오토매틱(Automattic)이 그라바타를 인수했다.^[38] 인수한 후, 이들은 이전에 유료로 제공되던 모든 서비스를 무료로 제공하고, 서버 응답 시간을 개선했으며, 최근 서비스를 유료로 결제한 사용자에게 환불을 제공했다.^[39]

매트 뮬렌웨그는 2010년 12월 2일, ''The Big Web Show''에서 그라바타가 하루에 약 200억 개의 이미지를 제공하고 있다고 발표했다.^[11]

5. 보안 문제 및 데이터 유출

그라바타는 이메일 주소의 MD5 해시를 URL에 사용하여 아바타를 불러오는 방식을 사용하는데, 이는 사전 공격이나 레인보우 테이블 공격에 취약하다.^[12]

2009년에는 포럼 사용자 이메일 주소의 10% 이상을 그라바타 URL과 사용자 이름을 조합하여 알아낼 수 있다는 것이 증명되었다.^[12] 2013년에는 보안 연구원 도미니크 봉가드가 그라바타 URL과 Hashcat 비밀번호 크래킹 도구를 이용하여 프랑스 정치 포럼 사용자 이메일 주소의 45%를 알아냈다고 발표했다.^[13] 그래픽 처리 장치(GPU) 기술 발전으로 그라바타 해시 크래킹은 더욱 쉬워질 것으로 예상된다.^[14] CMU 소프트웨어 엔지니어링 연구소는 2008년부터 MD5 해싱 알고리즘을 사용하지 말 것을 권고했다.^[15]

2020년 10월, 보안 연구원 카를로 디 다토는 그라바타에서 대량의 데이터를 스크랩하는 기술을 공개했다. 1억 6700만 개의 이름, 사용자 이름, MD5 해시가 해킹 커뮤니티에 유출되었고, 이 중 1억 1400만 개는 원래 이메일 주소와 함께 공개되었다. 사용자들은 Have I Been Pwned에서 자신의 정보 유출 여부를 확인할 수 있다.^[16]^[17]

5. 1. 보안 취약점

그라바타는 관련 이메일 주소의 MD5 해시가 포함된 URL을 사용하여 그라바타 웹 서버에서 로드된다. 그러나 이 방법은 사전 공격 및 레인보우 테이블 접근 방식에 취약한 것으로 나타났다.^[12]

2009년에는 포럼 사용자 집합의 이메일 주소 중 10% 이상이 그라바타 URL과 포럼 사용자 이름을 결합하여 확인할 수 있다는 것이 입증되었다.^[12]

2013년 보안 연구원 도미니크 봉가드는 그라바타 URL과 오픈 소스 Hashcat 비밀번호 크래킹 도구를 사용하여 유명한 프랑스 정치 포럼에 댓글을 게시하는 데 사용된 이메일 주소의 45%를 확인할 수 있었다고 발표했다.^[13]

Hashcat이 해시 크래킹에서 높은 효율성을 달성하기 위해 그래픽 처리 장치를 사용한다는 점을 감안할 때, GPU 기술과 성능이 계속 향상됨에 따라 그라바타 해시는 시간이 지남에 따라 더욱 쉽게 크래킹될 것이라고 제안되었다.^[14] 이는 MD5 해싱 알고리즘 자체가 심각하게 손상되어 암호화 응용 분야에 적합하지 않다는 사실 외에도 해당한다. CMU 소프트웨어 엔지니어링 연구소는 2008년 말부터 어떤 경우에도 사용하지 않도록 권고했다.^[15]

2020년 10월, 보안 연구원 카를로 디 다토는 그라바타에 대한 우려를 제기했지만 무시당한 후 대량의 데이터를 그라바타에서 스크랩하는 기술을 노출했다. 1억 6700만 개의 이름, 사용자 이름, 사용자의 아바타를 참조하는 데 사용된 이메일 주소의 MD5 해시가 그 후 해킹 커뮤니티 내에서 스크랩되어 배포되었다. 1억 1400만 개의 MD5 해시가 소스 해시와 함께 크래킹되어 배포되어 원래 이메일 주소와 관련 데이터를 공개했으며, 이메일 계정 소유자는 Have I Been Pwned를 사용하여 자신의 주소가 유출되었는지 확인할 수 있었다.^[16]^[17]

5. 2. 데이터 유출 사건

그라바타는 관련 이메일 주소의 MD5 해시가 포함된 URL을 사용하여 그라바타 웹 서버에서 로드된다. 그러나 이 방법은 사전 공격 및 레인보우 테이블 접근 방식에 취약한 것으로 나타났다.

2009년에는 포럼 사용자 집합의 이메일 주소 중 10% 이상이 그라바타 URL과 포럼 사용자 이름을 결합하여 확인할 수 있다는 것이 입증되었다.^[12]

2013년 보안 연구원 도미니크 봉가드는 그라바타 URL과 오픈 소스 Hashcat 비밀번호 크래킹 도구를 사용하여 유명한 프랑스 정치 포럼에 댓글을 게시하는 데 사용된 이메일 주소 중 45%를 확인할 수 있었다고 발표했다.^[13]

Hashcat이 해시 크래킹에서 높은 효율성을 달성하기 위해 그래픽 처리 장치를 사용한다는 점을 감안할 때, GPU 기술과 성능이 계속 향상됨에 따라 그라바타 해시는 시간이 지남에 따라 더욱 쉽게 크래킹될 것이라고 제안되었다.^[14] 이는 MD5 해싱 알고리즘 자체가 심각하게 손상되어 암호화 응용 분야에 적합하지 않다는 사실 외에도 해당한다. CMU 소프트웨어 엔지니어링 연구소는 2008년 말부터 어떤 경우에도 사용하지 않도록 권고했다.^[15]

2020년 10월, 보안 연구원 카를로 디 다토는 그라바타에 대한 우려를 제기했지만 무시당한 후 대량의 데이터를 그라바타에서 스크랩하는 기술을 노출했다. 1억 6700만 개의 이름, 사용자 이름, 사용자의 아바타를 참조하는 데 사용된 이메일 주소의 MD5 해시가 그 후 해킹 커뮤니티 내에서 스크랩되어 배포되었다. 1억 1400만 개의 MD5 해시가 소스 해시와 함께 크래킹되어 배포되어 원래 이메일 주소와 관련 데이터를 공개했으며, 이메일 계정 소유자는 Have I Been Pwned를 사용하여 자신의 주소가 유출되었는지 확인할 수 있었다.^[16]^[17]

참조

_[1] 웹사이트 Wordpress Codex — Using Gravatars http://codex.wordpre[...] Codex.wordpress.org 2009-12-10
_[2] 웹사이트 Redmine v0.8.0 RC1 changelog http://www.redmine.o[...] Redmine.org 2014-01-06
_[3] 웹사이트 Drupal Gravatar Integration http://drupal.org/pr[...] Drupal.org 2009-12-10
_[4] 웹사이트 MODx Gravatar Extension http://modx.com/extr[...] MODx.com 2016-01-05
_[5] 웹사이트 Open Profile Data http://blog.gravatar[...] Gravatar 2011-09-27
_[6] 웹사이트 Gravatar — How the URL is constructed http://en.gravatar.c[...] en.gravatar.com 2009-12-10
_[7] 웹사이트 Welcome to Gravatar 2.0! http://blog.gravatar[...] blog.gravatar.com 2011-07-01
_[8] 웹사이트 Gravatar Blog — Updated Croppr & Stats http://blog.gravatar[...] blog.gravatar.com 2009-12-10
_[9] 뉴스 Automattic Acquires Gravatar https://techcrunch.c[...] TechCrunch 2010-08-03
_[10] 웹사이트 Gravatar Blog — Automattic Acquires Gravatar http://blog.gravatar[...] blog.gravatar.com 2009-12-10
_[11] 웹사이트 The Big Web Show #29: Matt Mullenweg on 5by5 (41m40s) http://5by5.tv/bigwe[...] "[[5by5 Studios]]" 2010-12-12
_[12] 문서 Gravatars: why publishing your email's hash is not a good idea http://www.developer[...] Developer IT 2009-12-08
_[13] 뉴스 Got an account on a site like Github? Hackers may know your e-mail address https://arstechnica.[...] 2021-10-01
_[14] 웹사이트 Gravatar Advisory: How to Protect Your Email Address and Identity https://www.wordfenc[...] 2021-10-01
_[15] 웹사이트 CERT Vulnerability Note VU#836068 http://www.kb.cert.o[...] Kb.cert.org 2021-10-01
_[16] 웹사이트 Online avatar service Gravatar allows mass collection of user info https://www.bleeping[...] Bleeping Computer 2020-10-03
_[17] 웹사이트 Gravatar - 113,990,759 breached accounts https://www.itsecuri[...] IT Security News 2021-12-06
_[18] 웹사이트 Wordpress Codex — Using Gravatars http://codex.wordpre[...] Codex.wordpress.org 2009-12-10
_[19] 웹사이트 Redmine v0.8.0 RC1 changelog http://www.redmine.o[...] Redmine.org 2014-01-06
_[20] 웹사이트 Drupal Gravatar Integration http://drupal.org/pr[...] Drupal.org 2009-12-10
_[21] 웹사이트 MODx Gravatar Extension http://modx.com/extr[...] MODx.com 2016-01-05
_[22] 웹사이트 Gravatar — How the URL is constructed http://en.gravatar.c[...] en.gravatar.com 2009-12-10
_[23] 문서 Gravatars: why publishing your email's hash is not a good idea http://www.developer[...] Developer IT 2009-12-08
_[24] 웹사이트 Open Profile Data http://blog.gravatar[...] Gravatar 2011-09-27
_[25] 웹사이트 Welcome to Gravatar 2.0! http://blog.gravatar[...] blog.gravatar.com 2011-07-01
_[26] 웹사이트 Gravatar Blog — Updated Croppr & Stats http://blog.gravatar[...] blog.gravatar.com 2009-12-10
_[27] 뉴스 Automattic Acquires Gravatar https://techcrunch.c[...] TechCrunch 2010-08-03
_[28] 웹사이트 Gravatar Blog — Automattic Acquires Gravatar http://blog.gravatar[...] blog.gravatar.com 2009-12-10
_[29] 웹사이트 The Big Web Show #29: Matt Mullenweg on 5by5 (41m40s) http://5by5.tv/bigwe[...] "[[5by5 Studios]]" 2010-12-12
_[30] 웹인용 Wordpress Codex — Using Gravatars http://codex.wordpre[...] Codex.wordpress.org 2009-12-10
_[31] 웹인용 Redmine v0.8.0 RC1 changelog http://www.redmine.o[...] Redmine.org 2014-01-06
_[32] 웹인용 Drupal Gravatar Integration http://drupal.org/pr[...] Drupal.org 2009-12-10
_[33] 웹인용 MODx Gravatar Extension http://modx.com/extr[...] MODx.com 2016-01-05
_[34] 웹인용 Gravatar — How the URL is constructed http://en.gravatar.c[...] en.gravatar.com 2009-12-10
_[35] 웹인용 Open Profile Data http://blog.gravatar[...] Gravatar 2011-09-27
_[36] 웹인용 Welcome to Gravatar 2.0! http://blog.gravatar[...] blog.gravatar.com 2011-07-01
_[37] 웹인용 Gravatar Blog — Updated Croppr & Stats http://blog.gravatar[...] blog.gravatar.com 2009-12-10
_[38] 뉴스 Automattic Acquires Gravatar https://techcrunch.c[...] TechCrunch 2010-08-03
_[39] 웹인용 Gravatar Blog — Automattic Acquires Gravatar http://blog.gravatar[...] blog.gravatar.com 2009-12-10

본 사이트는 AI가 위키백과와 뉴스 기사,정부 간행물,학술 논문등을 바탕으로 정보를 가공하여 제공하는 백과사전형 서비스입니다.
모든 문서는 AI에 의해 자동 생성되며, CC BY-SA 4.0 라이선스에 따라 이용할 수 있습니다.
하지만, 위키백과나 뉴스 기사 자체에 오류, 부정확한 정보, 또는 가짜 뉴스가 포함될 수 있으며, AI는 이러한 내용을 완벽하게 걸러내지 못할 수 있습니다.
따라서 제공되는 정보에 일부 오류나 편향이 있을 수 있으므로, 중요한 정보는 반드시 다른 출처를 통해 교차 검증하시기 바랍니다.

문의하기 : help@durumis.com