"이메일까지 가능" 털린 내 정보 찾기, 계정 유출 여부 무료로 확인하는 방법

[IT동아 박귀임 기자] 해킹이나 내부 유출 사고가 국내 통신사와 금융기관, 그리고 온라인 쇼핑몰 등을 가리지 않고 발생한다. 이에 따른 개인정보 유출도 심각한 수준이다. 개인정보가 어떻게 악용되는지, 어딘가에서 떠돌고 있지는 않은지 불안한 분위기가 조성되고 있다. 이 가운데 자신의 개인정보가 유출됐는지조차 모르고 지나가는 것 역시 문제점으로 꼽힌다.

과학기술정보통신부와 한국인터넷진흥원(KISA)은 1월 27일 '2025년 사이버 위협 동향과 2026년 전망 보고서'를 발표했다. 해당 발표에 따르면 사이버 침해 사고 신고 건수는 2024년 1887건에서 2025년 2383건으로 무려 26.3% 증가했다.

특히 2025년 4월 SK텔레콤, 9월 KT, 11월 쿠팡 등에서 연달아 일어난 보안 사고로 유출된 개인정보가 다양한 경로를 통해 보이스피싱이나 스미싱 등 지능화된 2차 공격에 활용될 가능성도 제기됐다. 사이버 범죄자가 각각의 개인정보를 수집 및 결합해 악용할 경우 심각한 피해로 이어질 것이라는 우려의 목소리 역시 높아진다.

결국 개개인이 직접 계정 정보를 관리하는 것이 필요하다. 자신의 개인정보 유출 여부를 확인하는 것도 중요해진 상황. 이에 개인정보보호위원회(이하 개인정보위)는 자신의 개인정보 유출 여부를 확인할 수 있도록 누리집 '털린 내 정보 찾기'를 운영 중이다.

이메일 주소 조회까지 서비스 확대

2021년부터 운영 중인 털린 내 정보 찾기는 다크웹 등 음성화 사이트를 통해 개인정보가 유통되고 있는지 확인하고 이에 따른 2차 피해를 방지하기 위한 서비스다. 다크웹은 특수한 브라우저를 통해서만 접속할 수 있는 웹인데, 익명인 데다 추적도 불가해 불법으로 활용되는 경우가 많다. 다크웹에서는 개인정보부터 위조, 마약, 해킹 정보 및 성착취물까지 다양하게 유통되면서 사회적 문제로 떠오른다.

개인정보위는 최근 다크웹 등에 유출된 개인의 계정 정보를 악용한 크리덴셜 스터핑(Credential Stuffing) 공격이 급증함에 따라 1월 29일부터 털린 내 정보 찾기 서비스를 확대 개편했다. 크리덴셜 스터핑은 공격자가 어떤 방법을 통해 계정, 비밀번호 등 개인 정보를 취득한 후 다른 사이트에서도 이를 동일하게 사용해 성공할 때까지 로그인을 시도하는 해킹 공격이다. 이는 로그인 시도 횟수와 로그인 실패율이 급증하는 특징을 보인다.

이번 털린 내 정보 찾기 개편으로 기존 아이디와 비밀번호 이외에 이메일 주소도 조회할 수 있도록 범위를 확대했다. 이메일을 아이디로 사용하는 서비스가 늘어나는 추세를 반영한 것. 또 입력된 계정 정보 교차 조회 방식을 도입, 일일 이용 횟수도 1회에서 3회로 증가했다.

회원가입 없이 PC·모바일 모두 지원

털린 내 정보 찾기는 별도의 회원가입 없이 본인인증만으로 이용할 수 있다. PC와 모바일 버전 모두 지원한다. 이용 절차도 간단하다. 털린 내 정보 찾기에 접속한 후 '유출여부 조회하기'를 누르면 개인정보 수집 및 이용 동의로 이어진다. 이때 '필요한 최소한의 개인정보를 수집 및 이용하며 조회 완료 후 즉시 파기합니다'라는 안내가 나온다. 동의를 거부하면 털린 내 정보 찾기 이용이 제한된다.

털린 내 정보 찾기는 사용자 인증을 까다롭게 한다. 1차 인증은 본인 이메일로, 2차 인증은 서비스 악용 방지를 위해 진행하는 것. 1차 인증 시 이메일주소를 입력하면 인증번호가 발송된다. 해당 이메일에서 '털린 내 정보 찾기 서비스 이메일 인증 메일입니다'라는 제목으로 인증번호를 확인, 입력하면 1차 인증이 끝난다. 이후 '로봇이 아닙니다'를 누르면 2차 인증까지 마무리된다.

유출여부 조회하기에서 아이디나 이메일과 비밀번호를 입력할 수 있다. 아이디와 이메일 중 최대 3개 조회 가능하다. 아이디 혹은 이메일과 비밀번호가 동일할 경우 한 번만 입력하면 된다. 예를 들어 각각 다른 사이트에서 아이디는 ABC, 비밀번호는 123으로 동일하게 사용하고 있다면 구분 없이 한 번만 입력해도 결과를 얻을 수 있다. 다만 아이디는 동일해도 비밀번호가 다르다면 각각 입력해야 한다.

아이디와 이메일, 그리고 비밀번호를 입력하고 '유출 확인' 버튼을 클릭하면 결과가 바로 나온다. 결과에는 조회한 정보에 대한 유출 이력 여부와 안전한 비밀번호 변경 등 후속 조치 방법을 알려준다. 또 '조회 결과와 관계없이 아직 발견되지 않은 유출 위협에 대비하여 주기적인 패스워드 변경과 2단계 인증 설정을 권장합니다'라고 안내한다.

빠르게 유출 결과 확인, 계정 3개 제한

털린 내 정보 찾기를 직접 이용해보니 계정 정보의 유출 여부를 빠르게 확인할 수 있어 유용했다. 사용자 인증도 2차까지 진행, 신뢰할만하다고 느껴졌다. 결과 확인 페이지는 10분 정도로 시간 제한이 있다. 누리집 왼쪽 상단에 연장하기를 누르면 시간이 추가되기 때문에 여유롭게 확인 가능하다. 하지만 아쉬운 부분도 있었다. 유출 여부를 조회할 수 있는 아이디와 이메일은 한 번에 3개로 제한되는 것. 3개 이상의 계정 정보 유출여부를 확인하기 위해서는 처음부터 다시 시작해야 했다.

그럼에도 불구하고 털린 내정보 찾기는 일반인이 무료로 이용할 수 있는 가장 공신력 있는 개인정보 유출 확인 수단이다. 복잡한 기술 지식 없이도 누구나 쉽게 이용할 수 있는 것만으로도 의미가 크다. 여기에 안전한 비밀번호 관리 방법을 제공한다. 반복·연속 문자, 키보드 패턴, 사전 단어, 개인정보(생일·휴대폰·이름 등) 사용을 피하고 대소문자·숫자·특수문자를 섞은 복잡한 조합을 권장하는 것. 또 유출 이력이 있다면 해당 사이트의 비밀번호를 즉시 변경하고, 2단계 인증을 설정해 추가 보호하는 것을 추천한다.

개인정보위는 "증가하고 있는 개인정보 유출 사고를 줄이기 위해서는 적극적 예방 노력이 중요하다"고 강조하며 "이를 위해 털린 내 정보 찾기 서비스를 활용해달라"고 당부했다. 또 개인정보처리자에 대해서는 "이상 행위에 대한 침입 탐지 및 차단 조치 등 보안대책을 강화하고, 로그인 시도 시 간단한 테스트를 통해 사람과 컴퓨터를 구분하는 인증 방식인 캡챠(CAPTCHA)를 적용해 개인정보가 포함된 페이지 접근 시 추가 인증 적용 등을 적극 도입할 것"을 요청했다.

개인정보 유출은 더 이상 남의 일이 아니다. 자신의 개인정보가 유출됐는지 확인해야 대응도 가능하고, 2차 피해 역시 막을 수 있다. 이에 개인정보위는 털린 내 정보 찾기의 데이터 확보에 집중하는 등 더욱 유용하게 사용할 수 있도록 지속적인 개선을 해야 할 것이다.

IT동아 박귀임 기자(luckyim@itdonga.com)