* 이 콘텐츠는 한국인터넷진흥원으로부터 예산 지원을 받아 제작됐습니다.
인터넷 상에서 특정 기업이 제공하는 서비스를 이용하고자 할 때 회원가입해서 계정을 생성해야 합니다. 이러한 절차는 제공하는 서비스 기업이 달라질 때마다 이루어지는데, 덕분에 한 사람이 셀 수 없을 정도로 많은 계정을 보유하는 것이 일반적입니다.
그러다 보니 사용자들은 계정 정보를 까먹지 않고자 계정을 생성할 때 익숙한 아이디와 패스워드를 반복 사용하고, 패스워드를 주기적으로 변경하라는 권고 알림도 무시합니다.
문제는 이와 같은 사용자의 심리를 해커들도 잘 알고 있다는 것이고, 이를 악용하여 다크웹 등 음성화된 사이트에 유통되는 계정 정보를 불법 취득해 계정 해킹의 목적으로 무작위 대입하는 크리덴셜 스터핑(Credential stuffing) 공격의 대상으로 삼는다는 겁니다.
이들이 계정 해킹을 하려는 이유는 아이디와 패스워드만 알면 그 안의 다른 정보와 결합해서 사용자를 특정할 수 있는 개인정보가 만들어지기 때문입니다.
그리고 이러한 정보들을 모아서 보이스피싱 등 각종 범죄의 표적으로 정밀하게 삼을 수 있기에 계정 정보 유출로 인한 피해를 인지하고 막는 것이 중요합니다.
이에 대한 대응으로 개인정보보호위원회와 한국인터넷진흥원에서는 유출된 계정 정보를 확인해주는 “털린 내 정보 찾기 서비스(https://kidc.eprivacy.go.kr)”를 2021년 11월 16일부터 제공하고 있습니다.
사용 방법은 매우 단순한데, 이메일 인증과 리캡차 과정을 거친 다음에 본인이 평소 사용하는 아이디와 패스워드를 입력해주면 끝입니다.
그러면 유출 계정 정보를 암호화하여 저장하고 있는 데이터 베이스(DB)와 같은 암호화 로직을 적용해서 암호화해준 뒤 유출 계정 정보와 일치 여부를 체크해서 안내해주는데, 유출 계정 정보는 구글에서 제공한 40억여 건의 DB와 한국인터넷진흥원의 관계 기관 협력을 통해 확보한 2,300만여 건의 DB를 기반으로 하고 있어서 정확도가 높습니다.
참고로 이 서비스는 모바일에서도 진행할 수 있습니다. 다만, 이메일 인증 과정에서 네이버나 다음 앱을 통해 이메일 인증을 거치는 경우 다른 인터넷 브라우저를 실행해서 메일을 따로 확인해야 하니 이 부분만 주의 바랍니다.
그런데 아이디와 패스워드를 직접 입력해야 하다 보니 불안할 수 있습니다. 이와 관련해 사용자가 입력한 계정 정보는 일방향 암호화(HASH)를 한 뒤 조회 후 즉시 파기하고 있고, 비교·대조를 위한 유출된 계정 정보 역시 일방향 암호화 상태로 안전하게 처리·보관하고 있으므로 안심해도 됩니다.
또한, 혹시 모를 피싱사이트에 대한 대책으로 (KISA 상황관제팀에서) 24시간 피싱사이트 모니터링 중에 있습니다. 그래도 혹시 모를 사고 예방을 위해 주소창의 URL 마지막이 국가도메인(go.kr)으로 되어있는지 꼭 확인 후 조회하길 바랍니다.
만약 서비스를 통해 조회해서 계정 유출 여부가 확인됐다면 조회 후 하단 메뉴에서 제공하는 패스워드 선택 및 이용 안내서를 참고해서 패스워드를 변경할 것을 권장합니다.
그런데 해커들은 계정 정보를 취득하고자 계정 해킹만 하지는 않습니다. 금전 취득 목적으로 명의도용도 할 수 있어서 내가 가입하지 않은 계정이 존재할 수 있습니다.
이처럼 명의도용이 의심되거나 내가 가입한 웹사이트인지 잘 기억이 나지 않을 때는 개인정보보호위원회에서 운영 중인 ‘e프라이버시 클린서비스(https://eprivacy.go.kr)’를 이용해서 회원탈퇴 처리 대행 서비스를 받을 수도 있습니다.
내 정보는 내가 지킨다는 마음으로 한 달에 한 번 정도 털린 내 정보 찾기 서비스를 이용해서 유출 여부를 확인해보길 바랍니다. 궁금증이 해결되셨나요?
Copyright. 사물궁이 잡학지식. All rights reserved
