사이버 공격 점차 치밀·지능화 추세...'유출 조회 서비스' 통해 내가 보호하자
'털린 내 정보 찾기' 서비스로 계정정보 유출 확인 가능해
동일한 아이디, 비밀번호 사용한다면 '크리덴셜 서터핑' 주의
여러 사이트 아이디, 비밀번호 다양화하는 것도 예방방법
2022-01-12 취재기자 권지영
갑자기 늘어난 스팸 문자를 보면서 어디에서 내 정보가 유출된 것인지 불안하다. 최근 이러한 피해를 예방하기 위해 계정정보 유출을 조회할 수 있는 서비스가 등장했다.
다수의 온라인 계정에 동일한 아이디와 패스워드를 사용하면 해킹 피해를 볼 수 있다. 여러 개의 웹사이트를 가입할 때 아이디와 비밀번호를 각각 다르게 설정하는 것이 이상적이다. 하지만 인터넷 사용자들은 대부분 각각 다른 온라인 계정에 같은 아이디와 비밀번호를 동일하게 사용하거나 기존 비밀번호에서 약간 변형한 암호를 사용할 것이다. 이런 점들은 쉽게 사용자를 특정할 수 있어 명의도용, 보이스피싱 등 각종 범죄에 악용될 수 있다.
사용자들이 온라인 사이트의 아이디와 비밀번호를 동일하게 사용한다는 점을 악용해 개인정보를 불법 취득하는 사기 수법을 '크리덴셜 스터핑'(Credential stuffing)이라고 한다. 2020년 전 세계적으로 발생한 크리덴셜 공격이 1930억 건이라는 보안 전문기업 아카마이의 연구결과도 있다.
내 개인정보 유출 피해를 예방하고 싶다면 ‘털린 내 정보 찾기’ 서비스를 이용하면 된다. '털린 내 정보 찾기 서비스'란 다크웹 등 음성 사이트에서 유통되고 있는 내 정보의 유출 여부를 파악하여 2차 피해 발생을 방지하는 서비스다.
개인정보위원회와 한국인터넷진흥원은 다크웹 등에서 불법 유통되는 국내 계정 정보 2300만 건과 구글 비밀번호 진단 서비스 40억 건의 자료를 활용해 개인정보 유출 여부를 확인해주는 ‘털린 내 정보찾기’ 서비스를 제공하고 있다.
서비스를 이용하려면 털린 내 정보 찾기 홈페이지 메뉴 중 ‘유출여부 조회하기’를 누르면 된다. 이메일로 1차 인증을 완료 후 인간과 로봇을 구분하는 리캡챠(reCAPTCHA) 2차 인증을 끝내야 한다.
그리고 평소에 자주 사용하는 아이디와 비밀번호 조합을 하나씩 입력한다. 이메일 계정당 5개씩 입력할 수 있으며 입력한 정보는 저장되지 않고 즉시 파괴된다. 1차 인증을 완료한 동일 이메일 주소는 당일 중복 사용이 불가하고 익일 0시 이후로 가능하다.
유출이 확인된다면 사용자는 가입한 사이트에 신속히 접속해 비밀번호를 변경해 2차 피해를 예방할 수 있다.