YAHOO, 피싱방지에 사활건다

HTTPS 이용, 로그인정보-중요 데이터 전송시 암호화

안전로그인 서비스위해 피싱 방지기술 도입 예정

개인정보 보호위해 주민번호 검색 차단 실시

<야후코리아, 보안서비스중 피싱방지에 역량을 치중하고 있다.> ⓒ보안뉴스

야후코리아도 다른 포털과 마찬가지로 각종 보안서비스를 이용자들에게 제공하고 있다.

우선 로그인 보안을 위해 로그인 정보를 HTTPS(SSL)로 처리함으로써, ID및 password 등이 전송될 때 암호화 처리되어 혹시 있을 유출에 대비하고 있다. 또한 그 외 개인정보 조회나 중요한 데이터가 전송되는 페이지에서는 반드시 HTTPS로 암호화해 전송한다고 밝혔다.

야후코리아 김병석 팀장은 “현재 야후 보안센터(kr.security.yahoo.com)를 통해 사용자에게 기본적인 정보보안 방법 및 대처법을 알려주고 있다. ‘보안에 관한 10가지필수조언’ ‘바이러스, 트로얀 호스, 웜’ 등 각종 보안정보를 제공하고 있으며 국내 보안관련 사이트와의 연결 그리고 PC무료검진 서비스를 실시하고 있다”고 밝혔다.

야후코리아 https 이용 정보ㆍ데이터 전송은 본사정책에 따라 지난해부터 제공되었다. 모 관계자는 “타포털사는 로그인시 https 전송이 선택사항으로 되어 있어 야후코리아 로그인이 좀 더 신뢰성이 있다고 할 수 있다”고 강조했다.

야후코리아 보안담당 관계자는 “조만간 ‘안전로그인’을 선보일 예정이다. 안전로그인은 피싱(phishing) 방지를 위한 기술이 적용되어 있는 로그인 방식이다. 주로 피싱은 야후와 같은 모양으로 웹사이트를 제작한 후 email 등으로 로그인을 유도토록 하고 있는데, 이 안전로그인이 사용되면 사용자가 야후 사이트인지 야후를 흉내 낸 피싱사이트(phising site)인지 분별하는 데 용이할 것이라고 확신한다”고 밝혔다.

특히 타 포털사와 보안서비스에서 차별화전략이라고 할 수 있는 부분에 대해 보안관계자는 “크게 두 가지로 볼 수 있다. 첫 번째는 로그인에 전송되는 ID및 PW는 반드시 암호화되어 전송된다. 타 포털은 이 방식을 사용자 선택사항으로 두고 있다. 암호화를 통해 전송 중에 유출 될 수도 있는 IDㆍPW 등의 정보를 보호할 수 있다”고 말했다.

또한 보안담당자는 “두 번째는 안전로그인이다. 안전로그인은 현재 국제적으로 이슈가 되고 있는 phishing을 방지하기위한 anti-phishing 기술이 적용되어 있다. 즉 사용자가 phishing mail 등에 의해 야후 로그인페이지를 모방한 사이트에 노출되었을 때, 이 사이트가 야후 사이트인지 phishing에 의해 모방된 사이트인지 알아볼 수 있는 방법을 제공해준다"고 밝혔다. 이 방식은 현재 미국 본사에 적용되어 있고, 조만간 야후코리아에도 적용될 예정이다.

야후 로그인 페이지의 anti-phishing기능을 설정하면 평소에 자주 사용하는 PC(회사 또는 가정에서)에서 야후에 접속해 로그인하려면 로그인 페이지에 자신이 이전에 업로드한 ‘seal’이 보이기 때문에 안전하게 로그인할 수 있다고 한다.

보안관계자는 “만약 email 등에 의해서 야후로그인 페이지와 똑 같게 만든 피싱사이트에 야후 사용자가 노출되면 이 seal이 보이지 않기 때문에 사용자로 하여금 phising site임을 알리는 역할을 한다”고 설명했다. .

또한 게임방 등의 공용PC에서 접속을 야후 로그인을 시도해도 이 ‘seal’이 보이지 않게 됨으로써, ID 및 password를 로그인 박스에 입력하기 전에, 야후 사용자로 하여금 “이 PC는 공용PC이므로 보안에 유의하라”는 일종의 암묵적인 메시지를 보내게 된다는 것.

개인정보보호를 위해 야후코리아는 “개인정보보호에 대한 지침 및 가이드라인을 운영하고 있으며 주민번호 검색에 대한 검색 차단 (search 팀에서 system을 개발하여 8월4일부터 적용)서비서를 실시하고 있다”고 밝혔다.

외부 해킹침해에 대해서도 야후코리아 관계자는 “야후이름을 달고 런치되는 모든 서비스에 대해 사전 보안점검을 실시하고 있다. 보안체크리스트 및 툴을 이용한 자동보안점검, 보안담당자의 수동보안점검을 통과해야만 서비스가 런치될 수 있다. 이 사전 보안점검을 통과하지 못하면 그 서비스는 실현되지 않고, 이 점검을 통해 발견된 모든 보안취약점을 제거한 후에야 서비스가 정식으로 실시될 수 있다”고 말했다.

야후코리아 김병석 팀장은 “보안성이 높아지면 일반사용자들에게는 다소 불편하거나 어색함이 따를 수 있다. 하지만 이런 불편함은 모두 고객의 정보보호를 위해 발생한 조그마한 변화이다. 또한 사용자들도 패스워드를 만들 때 좀 더 복잡하게 하고, 생일, 주민번호, 전화 번호 등 쉽게 예상할 수 있는 숫자나 문자를 지양하는 것도 안전한 인터넷 사용의 지름길”이라고 덧붙였다.

[길민권 기자(reporter21@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)