"또 털린 개인정보", 불법 유통되는 개인정보 확인하려면?

정연호 hoho@itdonga.com

[IT동아 정연호 기자] 이론상으론 모든 계정마다 아이디와 비밀번호를 다르게 설정하는 것이 이상적이다. 하지만, 인터넷 사용자들은 보통 대부분의 웹사이트 아이디와 비밀번호를 동일하게 이용하거나, 그게 아니라면 패스워드 두 개 정도를 쓰곤 한다.

출처=셔터스톡
출처=셔터스톡

문제는 바로 이런 지점이 보안의 취약점이라는 것이다. 해커들은 특정 사이트에서 획득한 계정 정보를 다른 사이트에 대입해 공격하는데, 많은 사람들이 동일한 아이디와 비밀번호를 사용하고 있으므로 2차, 3차 피해로 이어지게 된다. 이처럼 불법적으로 확보한 로그인 자격증명(크리덴셜)을 다른 서비스의 인증시스템 계정에 대입하는 공격 방법을 ‘크리덴셜 스터핑[Credential Stuffing]’이라고 한다. 무작위 단어 조합을 이용해 비밀번호를 추측하는 방식이 아닌, 어느 정도는 유효성이 있는 계정 정보를 사용하기 때문에 공격의 성공률이 높다는 게 특징이다.

보통 다크웹에서 개인 정보를 구매해, 이를 크리덴셜 스터핑에 활용하는 방법이 흔하게 사용된다. 다크웹이란 암호화된 네트워크에 존재하며 특수한 경로로만 접근할 수 있는 웹사이트를 뜻한다. 개인 사용자도 공격의 대상이지만, 기업도 타깃이 될 수 있다. 기업의 중요한 정보에 접근할 수 있는 사람을 SNS를 통해 검색하고 이들의 로그인 정보를 탈취한 뒤, 기업 시스템에 접근하고 중요한 정보를 빼가는 것이다

보안 전문기업 아카마이(Akamai)가 발간한 인터넷 보안 현황 보고서인 ‘금융산업을 위협하는 피싱’에 따르면, 지난해 크리덴셜 스터핑은 전 세계적으로 1930억 건 관측됐고 이는 2019년 대비 45% 급증한 결과다. 이중 34억 건은 금융 업계를 대상으로 발생했다.

털린 내 정보찾기 서비스 소개, 출처=털린 내 정보찾기 홈페이지
털린 내 정보찾기 서비스 소개, 출처=털린 내 정보찾기 홈페이지

이에 따라, 개인정보위원회와 한국인터넷진흥원은 다크웹 등에서 불법 유통되는 국내 계정 정보 2300만 건과 구글 비밀번호 진단 서비스 40억 건의 자료를 활용해 개인정보 유출 여부를 확인해주는 ‘털린 내 정보찾기’ 서비스를 제공하고 있다. 이를 활용하면 다크웹에서 개인정보가 불법으로 유통되는지를 확인할 수 있다.

본인인증 과정
본인인증 과정

서비스를 이용하려면, 털린 내 정보찾기 서비스 홈페이지의 메뉴 중 ‘유출여부 조회하기’를 누르면 된다. 유출 여부를 조회하려면 이메일로 1차 인증을 거친 뒤, 인간과 봇을 구분하는 리캡챠(reCAPTCHA) 2차 인증을 끝내야 한다. 메일 인증을 완료하고 ‘로봇이 아닙니다’를 체크하면 된다.

평소에 주로 사용하던 아이디와 비밀번호 조합을 입력하면 된다
평소에 주로 사용하던 아이디와 비밀번호 조합을 입력하면 된다

그리고, 평소에 자주 사용하던 아이디와 비밀번호 조합을 하나씩 입력하면 된다. 이메일 계정당 5개씩 입력할 수 있으며, 입력한 정보는 저장되지 않고 즉시 파기된다. 동일한 계정은 당일 중복 사용이 불가능하기 때문에, 해당 계정으로 유출 여부를 추가로 확인하는 건 익일 0시 이후로 가능하다.

특정 조합의 아이디와 비밀번호가 유출됐는지를 알 수 있다
특정 조합의 아이디와 비밀번호가 유출됐는지를 알 수 있다

아이디와 패스워드를 누른 뒤 옆에 있는 ‘확인’을 누르면, 유출내역과 관련된 정보가 나온다. 이때 유출내역이 있다면 그 아래에 있는 웹사이트 회원탈퇴 서비스를 이용하는 것이 좋다. e프라이버시 클린서비스를 통해선 명의도용이 의심되거나, 아이디와 패스워드를 잊어버려 회원탈퇴가 어려운 홈페이지의 탈퇴를 간편하게 할 수 있다.

e프라이버시 클린 서비스 홈페이지에 접속
e프라이버시 클린 서비스 홈페이지에 접속

탈퇴하기를 원하는 홈페이지를 체크하면 된다
탈퇴하기를 원하는 홈페이지를 체크하면 된다

e프라이버시 클린서비스 홈페이지에서 웹사이트 회원 탈퇴를 누른다. 그 뒤로 휴대폰, 아이핀, 공동인증서 등으로 본인인증을 거치면 된다. 인증을 끝내면 회원 탈퇴 신청이 가능한 홈페이지 목록이 뜨는데, 이때 탈퇴를 신청할 홈페이지를 체크하고 아래에 있는 ‘웹사이트 회원 탈퇴 신청하기’를 누르면 된다.

안전한 패스워드 선택 및 이용 안내서, 출처=털린 내 정보찾기 홈페이지
안전한 패스워드 선택 및 이용 안내서, 출처=털린 내 정보찾기 홈페이지

고려대 정보보안대학원 김승주 교수는 “(털린 내 정보 찾기)를 통해서 유출 내역이 확인된다면 우선 비밀번호를 바꾸고, 개인정보 유출과 관련된 자료를 모아서 보호나라나 한국인터넷진흥원에 이를 신고해야 한다”고 전했다. 털린 내 정보 찾기 홈페이지의 공지사항 메뉴엔 ‘안전한 패스워드 선택 및 이용 안내서’라는 비밀번호 설정 지침서가 제공되고 있다. 이를 활용해 비밀번호를 안전하게 변경하는 것도 좋은 방법이다.

글 / IT동아 정연호 (hoho@itdonga.com)

IT동아의 모든 콘텐츠(기사)는 Creative commons 저작자표시-비영리-변경금지 라이선스에 따라 이용할 수 있습니다.
의견은 IT동아(게임동아) 페이스북에서 덧글 또는 메신저로 남겨주세요.