[IT하는법] 개인정보 유출로 해킹 걱정된다면, '털린 내 정보 찾기 서비스'

[IT동아 남시현 기자] 연이은 개인정보 유출 사고로 개인정보 보호 및 해킹에 대한 우려는 계속되고 있다. 하지만 어디서 어떻게, 어떤 정보가 유출됐는지 직접 파악하기란 불가능에 가깝고, 유출된 정보가 어떤 피해로 이어질지도 알 수 없다. 사용자 입장에서는 가능한 계정 아이디 및 비밀번호를 복잡하게 설정하고, 관리 주체가 내 정보를 안전하게 보관할 것이라고 믿는 수밖에 없다.

물론 카카오페이 사태처럼 관리 주체가 정보 관리에 소홀한 경우는 방법이 없지만, 그나마 계정정보 만큼은 본인이 직접 관리해 해킹 피해 등을 방지할 수 있다. 개인정보보호위원회는 올해 1월, 자신의 계정 정보 유출 여부를 확인하는 ‘털린 내 정보 찾기’ 서비스를 시작했다. 해당 서비스에 아이디와 비밀번호를 입력하면, 다크웹 혹은 관리 주체 해킹으로 인해 내 계정 정보가 유출된 적이 있는지 확인할 수 있다.

개인정보 보호의 첫 단계, ‘털린 내 정보 찾기 서비스’

‘털린 내 정보 찾기 서비스’는 네이버 혹은 다음 포털 사이트에 이름 그대로 입력해 접속한다. 개인정보보호위원회와 한국인터넷진흥원(KISA)이 운영하는 공공 사이트인 만큼 안심하고 이용할 수 있지만, 제약 사항을 잘 숙지하고 이용하자.

우선 ‘털린 내 정보 찾기 서비스’는 불법적인 경로 등에서 내 계정 정보가 유출되었는지 확인하는 서비스며, 실시간으로 유출되고 있거나 서비스 내 데이터에 없는 유출 정보까지는 확인할 수 없다. 또한 어떤 개인정보가 어떻게 유출되었는지를 확인하는 서비스가 아니다.

서비스의 범위는 ‘아이디’와 ‘비밀번호’가 유출됐는지 확인만 한다. 이후 비밀번호 변경 및 사이트 탈퇴 등은 본인이 직접 해당 사이트를 방문해 진행해야 한다.

홈페이지를 방문하면 우측 상단에 있는 ‘유출여부 조회하기’를 눌러 해당 메뉴로 진입한다.

유출여부 조회하기 메뉴로 진입한 뒤, 유의사항 및 안내, 개인정보 수집 및 이용 동의를 확인하고 아래 ‘동의합니다’에 체크합니다. 안내사항을 줄이면 회원가입 절차 없이 일회성으로 개인정보를 요구하며, 조회에 활용하는 개인정보 및 계정 정보는 조회 완료 후 즉시 파기한다는 내용입니다.

그다음 아래에 있는 ‘사용자 인증’ 항목으로 진입해 이메일 주소를 입력한다. 이메일 주소 인증은 하루 한 번만 활용할 수 있고, 계정당 10번의 조회만 가능하다. 따라서 10개 이상 조회하려면 처음 사용한 이메일과 다른 주소를 입력해 인증번호를 받아야 한다. 이용 횟수 초기화는 새벽 0시 기준이므로, 메일 주소가 하나라면 며칠에 걸쳐 확인해야 한다.

메일을 입력한 뒤 옆에 ‘인증번호 발송’을 누르면, 해당 이메일 주소로 인증번호가 날아온다. 3분 이내로 아래 ‘인증번호’ 항목에 숫자를 입력하고, ‘인증번호 확인’을 누른다.

확인을 누른 후에는 측면에 ‘2차 인증_계정탈취 방지’ 항목 아래에 ‘로봇이 아닙니다’라는 항목이 생성된다. 해당 인증은 매크로 등 자동화로 서비스를 이용하는지 감지하는 기능으로, ‘로봇이 아닙니다’를 누르는 것 자체가 컴퓨터 자동화 등 부정한 방법을 쓰는 게 아니라는 걸 증명한다.

2차 인증까지 완료되면 ‘유출여부 조회하기’ 항목이 뜬다. 이때 총 10개의 계정 정보 및 비밀번호를 입력할 수 있으며, 본인이 확인하고자 하는 계정 정보와 비밀번호를 순차적으로 입력한다.

다만 아이디나 비밀번호가 중복되는 경우에는 어떻게 해야 할까? 예를 들어 네이버 ID가 QWERTY, 비밀번호가 123456이다. 그런데 카카오 ID도 QWERTY, 비밀번호도 123456이라면, 이때는 네이버, 카카오 구분 없이 QWERTY와 123456 한 번만 입력한다.

다만 아이디는 동일한데 비밀번호가 조금이라도 다르다면 이 때는 아이디와 비밀번호를 각각 입력한다. 즉 하나의 아이디를 여러 개 사이트에서 모두 공유하고 있다면, 아이디를 치고 비밀번호는 각각 하나하나 다 입력한다. 아이디는 다 다른데 비밀번호가 같다고 해도 각각 입력한다.

계정 정보를 모두 입력한 다음, 측면에 ‘확인’을 누르면 유출 여부 조회를 시작한다. 이메일 하나로 하루에 10개만 조회할 수 있으니 가능한 10개를 다 채우자. 만약 조회 결과에 이상이 없으면 ‘유출 내역이 없습니다’라고 녹색 메시지가 뜬다.

하지만 안심할 순 없다. 이 서비스는 기관에서 들고 있는 계정 정보 유출 목록에서, 내가 입력한 아이디와 비밀번호가 있는지를 조회하는 서비스다. 따라서 오탈자가 있으면 검색이 안되므로 유출내역이 없다고 뜨니 아이디와 비밀번호를 정확히 입력해야 한다.

또한 서비스에서 내 계정 정보 유출 내역이 없다고 뜨더라도 100% 안전한 게 아니다. 기관에서 보유 한 목록에서만 유출 이력이 없을 뿐, 다른 경로로 유출이 된 것까지는 포착하지 못한다.

실제 유출된 정보가 있다면?

만약 유출여부 조회하기에서 유출이력이 있다고 뜨면 어떨까? 실제 유출이력이 있는 아이디를 입력하자, 해당 목록에서도 ‘유출 이력이 있습니다’라고 빨간색으로 표시됐다. 참고로 조회한 계정 정보는 구글의 자동 로그인 관리 항목에서도 계정 정보가 유출됐다고 안내되는 계정이다. 털린 내 정보 찾기 서비스도 자체 수집한 데이터에 구글 로그인 관리의 유출 데이터도 쓰기 때문에 유출 이력이 있다고 나온다.

유출이 확인된 계정은 직접 사이트를 방문한 뒤 계정 정보를 변경한다. 털린 내 정보 찾기 서비스 내에서 탈퇴 혹은 비밀번호 변경 등은 지원하지 않는다. 패스워드는 동일문자를 반복하지 않고, 본인의 생년월일이나 휴대폰 번호 등을 사용하지 않는다. 또 한글이나 영어 단어를 그대로 쓰는 것은 좋지 않고, 키보드 배열 등이 단순해도 권장하지 않는다.

비밀번호는 연속성과 연계성이 없는 복잡한 구조로 설정하고, 또 특수문자를 끝이 아닌 중간에 배열하면 효과적이다. 기억하기 어렵다면 짧은 속담을 비밀번호로 설정해 보자. 예를 들어 ‘계란으로 바위치기’을 한영 전환 없이 쓰면 ‘rPfksdmfhqkdnlclrl’같이 규칙성이 없고 복잡한 배열이 된다. 여기에 특수문자를 섞어 ‘rPfksdmfh!@#qkdnlclrl’처럼 쓰면 비밀번호가 유출되지 않는 한 뚫을 방법이 없다.

털린 내 정보 찾기 서비스로 안전하다고 나온 계정도 실은 그렇지 않다. 많은 사람들이 옛날에 만든 단순한 비밀번호를 그대로 쓰거나, 개인정보와 연관된 번호를 쓰고 있을 것이다. 이번 기회에 계정 정보도 조회하고, 비밀번호도 안전하게 바꿔보자.

글 / IT동아 남시현 (sh@itdonga.com)