털린 내 개인정보, 다크웹·인터넷에 유출됐나 확인했더니

정부의 ‘털린 내 정보 찾기 서비스’ 시행 2개월, 성과 어땠나

[보안뉴스 위아람 기자] 스팸성 전화와 문자, 메일을 매일같이 받아보는 것이 어느새 한국인의 일상이 됐다. 이쯤 되면 도대체 내 정보는 언제 어떻게 털린 걸까라는 의문이 들 법도 하다. 이러한 가운데 정부에서는 ‘털린 내 정보 찾기 서비스’를 통해 개인 사용자의 유출된 정보가 무엇인지 알려주는 서비스를 2개월 째 시행하고 있다.

[이미지=utoimage]

개인정보보호위원회(이하 개인정보위)와 한국인터넷진흥원(KISA)은 지난해 11월 16일부터 ‘털린 내 정보 찾기 서비스’를 시작했다. 이 서비스는 이용자가 평소 온라인 상에서 사용하는 계정정보(아이디, 패스워드)를 입력하면 유출된 이력을 알려주는 서비스다.

개인정보위와 KISA가 자체 확보한 다크웹 등 음성화 사이트에서 불법 유통되고 있는 국내 계정정보(2,300만여 건)와 구글의 비밀번호 진단 서비스(40억여 건) 등을 활용해 유출여부를 확인할 수 있도록 구성했다.

이용자가 조회를 통해 유출 이력을 확인한 경우 내 정보 찾기 서비스 내 ‘안전한 패스워드 선택 및 이용 안내’ 메뉴에 따라 비밀번호를 변경하거나 해당 사이트에서 ‘휴대전화 인증코드 적용’ 등 2차 인증 서비스를 제공하는 경우, 이를 적용해 추가 피해를 예방할 수 있다. 또 사용하지 않는 웹사이트의 회원 탈퇴를 위해 ‘e프라이버시 클린서비스’를 이용해 삭제도 가능하다.

아이디와 패스워드만으로는 치명적인 공격이 불가능할 것이라고 생각할 수도 있다. 하지만 아이디와 패스워드는 다른 정보와 결합해 쉽게 사용자를 특정할 수 있는 개인정보다. 사용자들은 대개 온라인 상의 여러 사이트에 걸쳐 아이디와 패스워드를 동일하게 사용하기 때문에 계정 해킹을 위해 무작위 대입하는 공격인 크리덴셜 스터핑을 당할 가능성이 높다.

‘털린 내 정보 찾기 서비스’에서 사용하는 계정정보는 어떻게 수집했을까? 특수한 브라우저를 통해서만 접속할 수 있는 웹으로 익명성, 폐쇄성이 높아 추적이 어려운 다크웹, 딥웹 등을 포함해 온라인 상에 유출됐다고 인지되거나 공개된 정보를 토대로 적법하게 수집한 것으로 알려졌다. 해당 서비스에서는 ‘아이디, 패스워드’ 등 계정정보를 평문으로 보관하지 않고, 즉시 일방향 암호화함으로써 단순 조회정보 제공 목적으로만 활용하고 있다.

혹시 조회를 위해 입력한 이메일 주소, 아이디, 패스워드가 또 다시 유출되는 건 아닐까? 이 부분은 걱정할 필요가 없다. 사용자가 입력한 정보는 일방향 암호화 및 조회 후에 즉시 파기되며, 본인인증용 이메일 주소는 다음날 자정까지 보관했다가 파기한다. 비교·대조하기 위한 데이터 역시 해쉬(HASH)로 안전하게 처리 및 보관하고 있다.

이렇게 유출된 계정정보는 어디에서 어떻게 나오게 된 걸까? 대부분 다크웹 등 음성화 사이트에서 불법유통되는 계정정보는 유출된 출처 확인이 불가능한 경우가 대다수다. 특히, 사이버범죄자들은 온라인 상에 불법 게시된 다양한 웹사이트에서 개인정보를 수집한다. 또 금전 취득 목적으로 올바르지 않은 개인정보를 인위적으로 생성 및 불법 배포하는 경우 등은 고도화된 해킹기법과 결합되고 있어 유출 경로를 특정하는 과정은 더욱 어려운 상황이다.

그럼 ‘털린 내 정보 찾기 서비스’를 통해 계정정보가 유출된 것으로 밝혀지면 어떻게 해야 할까? 유출이력이 존재하는 경우에는 즉시 패스워드를 변경해야 한다. 그래야 명의도용, 사기거래, 보이스피싱 등의 2차 유출 피해를 방지할 수 있다. 개인정보위에서 운영 중인 e프라이버스 클린서비스는 회원탈퇴 처리 대행 서비스를 제공하고 있으므로 사용자는 장기간 미사용 및 미접속한 웹사이트에 대한 회원 탈퇴 등을 통해 개인정보를 안전하게 관리해야 한다.

개인정보위에 따르면 해당 서비스를 시행하고, 지난해 12월까지 28만9,083명이 계정정보 유출 여부를 직접 조회했고, 2만386명이 자신의 계정정보가 유출된 사실을 확인했다고 밝혔다. 유출 이력을 조회한 인원 중 8.78%가 유출 이력이 있음을 확인했고, 패스워드 변경 및 회원탈퇴 등 후속조치를 권고받았다.

유출 여부가 확인된 사용자가 탈퇴 대행 서비스를 이용하는 경우도 많아져 e프라이버시 클린 서비스 일평균 방문자는 유출 조회 서비스 개시 전 6,685명에서 서비스 개시 후 한달 동안 1만1,190명으로 증가했다.

개인정보위는 해당 서비스를 단계적으로 확대해 유출로 인한 2차 피해를 방지하기로 했다. 단순히 아이디와 패스워드만이 아니라 이메일, 전화정보, 여권번호 등을 조회할 수 있도록 한다는 계획이다. ‘털린 내 정보 찾기 서비스’ 관계자는 아직 예산이 확보되지 않았고 기술적 검토도 이뤄지지 않은 상황이어서 실제로 서비스가 확대되는 시점은 특정하기 어려운 상황이라고 전했다.

한국인터넷진흥원 김지근 책임연구원은 “대부분 털린 정보를 보면 017, 012 등 예전 전화번호나 패스워드를 일방향 암호화를 하지 않던 2013년 이전의 평문 정보인 경우가 많다”며 “주기적으로 개인정보를 변경하지 않은 사람은 과거 해킹 사건 등을 통해서 유출된 정보로 인해 피해를 입을 가능성이 있다. 개인은 복잡한 방식의 패스워드를 주기적으로 변경하는 간단한 보안수칙만으로도 큰 피해를 막을 수 있다”고 말했다.

이어 “털린 내 정보 찾기 서비스에서 사용되는 딥웹, 다크웹 등의 정보는 해커가 공개한 정보인 경우가 많다. 신뢰성이 떨어지고 샘플로 공개된 정보인 경우”라며 “실제로 유출된 개인정보는 털린 내 정보 찾기 서비스에서 조회할 수 있는 것보다 더 규모가 클 가능성이 있다. 개인은 이를 명심해서 기본적인 보안수칙을 철저히 지키는 것이 중요하다”고 밝혔다.
[위아람 기자(sw@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)