개인정보보호위원회는 최근 다크웹 등에 유출된 계정정보를 악용한 '크리덴셜 스터핑' 공격이 급증함에 따라 '털린 내정보 찾기 서비스'를 확대 개편해 본격 운영에 들어갔다고 전했다. 최근에는 서울시 공공자전거 '따릉이' 회원정보 450만건 이상이 유출된 것으로 밝혀져 논란이 일고 있다. 사진은 1일 서울 영등포구 한 도로에 있는 따릉이 모습. (사진=연합뉴스)[소비자경제] 김영빈 기자 = 계정·비밀번호 조합이 유출되면 다른 사이트까지 연쇄 위험에 노출되는 만큼, 개인정보위가 예방 도구인 '털린 내정보 찾기' 서비스 기능을 강화했다.
다크웹 등에 유출된 계정정보를 악용한 '크리덴셜 스터핑' 공격이 급증하는 가운데, 개인정보보호위원회(개인정보위)가 '털린 내정보 찾기 서비스'를 확대 개편해 본격 운영에 들어갔다.
크리덴셜 스터핑은 공격자가 확보한 아이디·비밀번호 정보를 여러 사이트에 자동으로 대입해 로그인을 시도하는 해킹 기법으로, 로그인 시도 횟수와 실패율이 급증하는 특징이 있다. 하나의 서비스에서 유출된 정보가 다른 서비스로 연쇄 확산되기 쉬워, 최근 계정 탈취 사고의 주요 원인으로 지목된다.
'털린 내정보 찾기' 서비스 이용 방법. (개인정보위 제공)'털린 내정보 찾기' 서비스는 이용자가 평소 사용하는 아이디와 비밀번호 조합을 입력하면, 해당 계정정보가 다크웹 등에서 불법 유통되고 있는지를 확인할 수 있는 공공 서비스다. 유출 사실이 확인될 경우, 이용자는 비밀번호 변경이나 2단계 인증 설정을 통해 계정 해킹 위험을 줄일 수 있다.
이번 개편의 핵심은 조회 범위 확대다. 기존 아이디·비밀번호 조합 확인에 더해, 이메일 주소만으로도 유출 여부를 점검할 수 있도록 기능을 추가했다. 이메일을 아이디로 사용하는 서비스가 늘어나는 최근 이용 환경을 반영한 조치다. 이와 함께 홈페이지 인터페이스 개선과 서비스 기능 보강을 통해 이용 편의성도 한층 높였다.
개인정보위는 현재 서비스 누리집에서 개편된 서비스에 대한 이용 경험과 만족도를 묻는 설문조사를 진행 중이며, 조사 결과를 향후 서비스 개선에 적극 반영할 방침이다. 개인정보위 관계자는 "증가하는 개인정보 유출 사고를 줄이기 위해서는 국민 개개인의 사전 예방 노력이 무엇보다 중요하다"며 "'털린 내정보 찾기 서비스'를 활용해 주기적으로 계정 정보를 점검해 달라"고 당부했다.
아울러 개인정보위는 개인정보처리자에 대해서도 보안대책 강화를 주문했다. 이상 행위에 대한 침입 탐지·차단 조치 강화는 물론, 로그인 시도 과정에서 캡챠(CAPTCHA) 적용, 개인정보가 포함된 페이지 접근 시 추가 인증 도입 등 기술적·관리적 보호조치를 적극 시행해 줄 것을 요청했다.
npce@dailycnc.com
