데이터 유출 사고가 빈번하게 발생함에 따라 현재 사용 중인 계정정보가 안전한지 우려하는 이용자가 많다. 한 계정정보를 여러 곳에 공통적으로 사용하는 경우가 적지 않은 만큼, 외부에 유출됐을 경우 광범위한 피해가 초래되기 때문이다.
해킹으로 털린 계정정보는 다크웹, 해킹 포럼 등 해커들이 찾는 웹사이트에서 활발히 거래되는 것으로 알려지면서 이런 우려가 더욱 커지고 있다.
이에 개인정보보호위원회는 국민 계정정보가 다크웹 등 음성화 사이트에 유출됐는지 알려주는 '털린 내 정보 찾기 서비스'를 운영하고 있다.
이 서비스는 개인정보 유출 사고 수사 등으로 정부가 자체 확보한 국민 계정정보 2천300만여건과 구글의 유사 서비스 '패스워드 체크업'에 등록된 계정정보 40억여건을 토대로 제공된다. 때문에 '해브아이빈폰드' 등 일반 기업 유사 서비스에 비해 데이터베이스(DB)에 국민 계정정보가 보다 많이 반영돼 있는 것이 특징이다.
털린 내 정보 찾기 서비스에서 계정정보 유출 여부를 조회하기 위해 먼저 본인인증 차원에서 이메일 인증과 리캡차 인증을 해야 한다. 인증에 사용한 이메일 주소는 당일 또다시 사용할 수 없고, 익일부터 재사용이 가능하다. 인증에 성공하면 5개의 계정정보를 DB에서 검색할 수 있다.
개인정보위에 따르면 이런 조치는 서비스를 해킹에 악용하는 것을 방지하기 위해 도입됐다. 가령 해커가 탈취한 이메일 계정정보를 이용해 인증을 한 뒤, 계정정보 주체가 사용하는 다른 계정정보를 알아내기 위해 해당 서비스를 악용할 가능성이 있다. 이런 가능성을 차단하기 위해 이메일 인증에 제한을 두고 자동화 프로그램을 이용한 정보 탈취 시도를 막고자 리캡차 인증을 탑재했다.
인증을 거치고 나면 검색할 계정정보들을 입력할 수 있다. 민감한 정보인 계정정보가 입력되기 때문에 최소한의 개인정보 수집에 신경 썼다. 입력된 계정정보는 일방향 암호화되며, 검색 후 즉시 파기된다. 인증에 사용했던 이메일 주소도 익일 바로 파기된다. 계정정보 DB도 해시값으로 처리, 보관하도록 했다.
자주 사용해온 계정정보 5개를 입력했더니 한 개는 유출 이력이 있다는 안내를 받았다. 상대적으로 계정 및 패스워드 길이가 짧고, 안전하지 않은 방식으로 패스워드를 구성했던 경우였다. 복잡한 패스워드 설정을 요구하지 않는 웹사이트 여러 곳에 써왔던 계정정보였기 때문에, 해당되는 사이트에서 패스워드를 바꿔야겠다는 생각이 들었다.
다만 해당 서비스는 유출돼 다크웹 등지에서 유통되는 계정정보 DB에 대한 검색결과를 보여주는 것으로, 어떤 곳에서 유출된 계정정보를 썼는지는 직접 확인해야 한다. 계정정보는 서비스 운영 주체만 보관하는 만큼, 어쩔 수 없이 가입된 웹사이트 각각에서 계정정보를 확인해야 하는 수작업이 따른다.
관련기사
- '다크웹' 유통 계정정보 조회 서비스 16일 개시2021.11.15
- '패스워드 없는 로그인' MS 계정에 써보니2021.09.20
- 삼성, 오픈소스 속 개인정보 탐지 도구 공개한다2021.08.18
- 알쏭달쏭한 '영상정보' 처리…"AI 예외 규정 둬야"2021.06.10
검색결과 하단에는 가입된 웹사이트 조회 및 회원탈퇴를 지원하는 'e프라이버시 클린서비스'가 안내돼 있다. 본인확인 절차를 거치면 이 명의를 이용해 가입된 웹사이트 내역을 일괄 검색해준다. 이를 활용해 계정정보를 확인하거나, 현재 이용하지 않는 웹사이트는 탈퇴하는 식으로 대처할 수 있다.
정부는 털린 내정보 찾기 서비스에서 검색되는 정보 종류를 계정정보 외 이메일, 전화번호, 사기 정보 등 단계적으로 확대 제공한다는 계획이다.