해당글을 읽어보면 MD5비밀번호 암호화된 문자를 풀어보라는 말이 있었는데.

풀지를 못하였다라죠..

우선은 DB에 접근 가능한건 FTP상의 보안이 낮았기 때문이 아닌가 생각합니다.

실상 SQL 인젝션이며 뭐며... 보안이 우선 낮아서 그럤던건 아닌가 싶습니다.

FTP정보에 들어가게되면 files/config/db.config.php 라는 파일에 벌써 db정보가 들어있기에, 실상 끝난것이나 마찬가지죠.

즉, XE자체 보완도 중요하지만 FTP보안도 중요하다고 생각합니다.

FTP보안은 SFTP나 FTP SSL 연결은 필수라고 생각합니다.

아니면 비밀번호, 계정, 전송된 파일 내용이 넷플로우로 바로 찍히더군여...

그리고 암호화 방식 변경은 상당한 어려움이 따를 것 같네요.

우선 모든 사용자의 암호를 SHA1로 바꿔야하는데, 그럼 사용자가 다시 암호를 입력하는 수밖에 없을 것입니다.

신규 설치자라면 모를까, 기존 설치자들에게는 큰 고민이죠...

그... 저는 사용자가 같은 비밀번호를 쓰지 말고, 복잡하고 긴 번호를 쓰게 유도하는게 최선이라고 생각하고 있습니다만.

OTP 를 도입하지 않는 이상. 결국은... 손을 댄다면, 계속해서 암호화 방식에 손대야 할 것 같은데, 일단 그부분을 암호화 부분으로 코어에서 따로 분리해 놓아야 할 것 같구요.

http://bit.ly/1mso37D 위키와 같이 SHA 도 MD5 도 불안전하다고 하죠.
음... OTP 를 도입하는게 가장 좋지 않나 싶기도 하구요. (예를들면 구글 OTP 도입하면 될 것 같아요.)

DB 접근 권한을 획득해버리는 사태가 발생해도 사용자 개인정보를 암호화하여 정보를 사용할 수 없도록 해야 하는 것이 맞습니다.
12자 이상의 랜덤 salt 값 적용이나 이중 삼중 안호화 등이 가장 현실적이지 않을까 하네요.

참고로 단순히 한번 돌린 hash 자체는 요즘에는 rainbow table이 매우 잘 구축되어 있어서 매우 간단하게 decrypt가 가능합니다. 직접 rainbow table을 설치 할 필요도 없습니다, 온라인 상에서 돈만 내면 다 찾아줍니다. 가격도 전혀 비싸지 않습니다.

ex) http://www.cmd5.org 

충분한 길이의 salt를 적용하는것은 물론, hash를 여러번 돌리는것은 필수라고 생각합니다.

그리고 만약 개선한다면 오래된 sha1 sha2가 아닌 가장 최신의 sha3(keccak)를 적용하는것이 좋을 것 같습니다.

https://github.com/strawbrary/php-sha3

이런글이 또 올라오다니1년이나 된거 같은데 한번 금전적인 피해가 발생하면 그떄 바꾸겠죠 뭐 

점점 XE를 이용한 사이트는 많아질테고 쇼핑몰 기능이 들어가다보면 언젠가 피해 생기기 마련입니다.

그떄를 기다리시던지 작업의뢰로 바꾸시던가 아니면 직접 바꾸시는편이 날꺼 같습니다.

소잃고 외양간 고친다라는 말이 있으니 어쩌피 XE는 관리자의 정보도 유출이 될수 있지만 회원들이 더 피해 입을수 있으니