美 IT회사들, 해킹 방지 노력 '절치부심'

일반입력 :2013/02/22 10:05

손경호 기자

트위터, 페이스북 등 소셜네트워크서비스(SNS)는 물론 은행, 주요 언론사, 버거킹과 같은 패스트푸드점까지 해킹위협에 노출되는 등 문제가 잇따르는 가운데 미국 IT회사들이 해킹방지를 위해 여러가지 대안책을 내놓고 있다. 의심스러운 이메일 주소는 아예 수신조차 되지 않도록 하고, 사용자가 평소에 접속하지 않던 곳에서 로그인이 이뤄졌을 때 추가적인 정보를 묻는 식이다.

21일(현지시간) 미국 지디넷은 트위터가 이메일 보안에 필요한 기술표준 마련을 위한 실무그룹이자 본인인증시스템인 '도메인 기반 메시지 인증, 보고 및 적합(DMARC)'을 자사 서비스에 적용한다고 밝혔다.

DMARC는 피싱 이메일을 줄이기 위해 회원사들로부터 신뢰할 수 없다고 판단되는 이메일은 아예 스팸메일로도 저장하지 않는 방법이다. 이와 관련 트위터측은 블로그를 통해 DMARC는 메일수신함에 의심스러운 이메일이 저장되는 것을 원천차단한다고 밝혔다.

DMARC는 뱅크오브아메리카, 피델리티 인베스트먼트, JP모건체이스, 컴캐스트, 페이팔, 페이스북, 링크드인 등과 AOL, 마이크로소프트, 야후, 구글 등 이메일 서비스 제공회사들이 협력해서 고안해낸 해킹 방지기술이다.

또다른 문제는 비밀번호 유출을 어떻게 막을 수 있냐는 것이다. 구글 보안 엔지니어 마이크 헌은 우리는 한명의 공격자가 수백개의 구글 이메일 계정을 적어도 하루에서 일주일에 거쳐 비밀번호를 훔치려는 시도를 목격하고 있다며 서로 다른 조직들이 초당 100개의 계정을 노리고 있다고 밝혔다.

구글은 위기분석시스템을 해법으로 내놓았다. 사용자가 이메일 계정에 접속하면 120개의 다양한 위험 유형을 분석한다. 사용자가 통상적으로 접속하는 지역이 아닌 곳에서 로그인이 이뤄졌을 경우 사용자에게 휴대폰 번호나 계정과 관련된 추가 이메일 주소를 묻는 등의 추가적인 본인확인 과정을 거친다.

구글은 이를통해 지난 2011년 자사 계정에 대한 해킹시도가 정점을 찍은 이후 99.7% 가량 공격 시도가 줄었다고 밝혔다.

관련기사

트위터, 구글 등은 길고 특이한 비밀번호를 사용하고, 기존 비밀번호와 휴대폰 번호 등을 통한 인증을 함께 사용하는 이중인증, 보조 이메일을 주소를 이용한 원상복귀 등을 수행할 것을 권했다.

추가로 미국 오바마 정부는 '사이버 공간에서 신뢰받는 ID를 위한 국가전략(NSTIC)'이라는 제도를 통해 인터넷 상 신원확인 영역을 관리하고 인증 관련 표준을 제정해 클라우드, 모바일 서비스 등의 보안성을 강화하고 있다.