출근길에서도, 퇴근길에서도. 온·오프라인에서 화제가 되고 있는 다양한 이슈를 풀어드립니다. 사실 전달을 넘어 경제적 가치와 사회적인 의미도 함께 담아냅니다.
세상의 모든 이슈, 풀어주리! <편집자주>
K팝 그룹 소녀시대의 수영(최수영·33)이 스스로를 ‘중고거래 마니아’라고 밝히며 자신이 겪은 소름 끼친 사연을 공개했다.
지난 27일 KBS의 한 예능 프로그램에 출연한 최씨는 중고거래 매너 온도가 40도 이상임을 밝히며 “이제는 안 입는 옷들을 팔기도 한다. 직접 나가기도 하고 팔아달라고 부탁도 하는데 주로 비대면으로 판매한다”고 말했다.
함께 출연한 이찬원이 ‘중고거래에서 혹시 알아본 분들도 있냐’고 묻자 최씨는 “과거 중고거래를 하다 상대방이 채팅 메시지로 '수영아'라는 메시지를 보낸 적이 있다”고 털어놨다.
이어 “저라는 사실을 알리고 하는 게 아니니까 그렇게 와서 너무 무서웠다. 제 집 앞에 사는 분이었다. 대충 뭘 뒤집어쓰고 가야겠다 싶었는데 그걸 보고 너무 놀랐다”며 “알고 보니 그분은 저희 언니랑 뮤지컬을 하고 있는 배우이고 저랑도 아는 사이였다. 그날 언니와 점심을 먹으면서 중고거래에 대해 이야기를 했다고 하더라”라고 떠올렸다. 최씨가 중고거래를 애용한다는 사실을 알게 된 지인이 한 장난이었다는 설명이다.
스타벅스 앱 해킹 뒤 충전·결제…美서는 60만달러 탈취 사건도
최씨의 경우에는 다행히 웃고 넘어갈 해프닝에 그쳤지만 웹사이트 한 곳에서 확보한 아이디와 비밀번호를 다른 인터넷 서비스에서도 대입해 개인정보를 해킹하는 이른바 ‘크리덴셜 스터핑’ 수법은 종종 벌어지는 범죄다.
실제로 지난 7월 글로벌 커피 브랜드 ‘스타벅스 코리아’에서 해외 IP를 통해 일부 고객의 유출된 계정정보로 애플리케이션(앱)에 로그인을 시도한 정황이 파악됐다. 공격자는 불법 취득한 아이디·패스워드를 무작위로 조합해 공격을 시도했으며 로그인에 성공한 뒤 해당 계정의 충전금 결제를 도용해 금전적 피해까지 입혔다.
사건 발생 이후 스타벅스 측은 즉시 공격자의 해외 IP를 차단하고 관계기관에 신고했으며 계정 도용 피해 고객 대상으로 비밀번호 재설정 안내 및 충전금 보상을 진행했다고 밝혔다. 이후 보안 강화를 위해 홈페이지 로그인 및 서비스 비용 결제 시 전용 앱을 통한 2차 인증 등의 추가 인증 절차를 적용하기도 했다.
또 올해 인터파크에서 78만건, 한국고용정보원(워크넷)에서 23만건의 개인정보가 유출됐고 이를 통해 지마켓의 상품권 번호 도용 등의 범죄로 피해가 이어졌다. 특히 최근 침해사고 조사 결과, 크리덴셜 스터핑 공격 시 로그인 시도 대비 성공률이 약 0.3% 가까이 되는 경우도 나타나기도 했다.
미국에서는 10대 청소년이 게임 및 도박 사이트를 해킹해 1600여명에게서 60만달러를 탈취해 유죄 판결을 받기도 했다. 체포 당시 경찰은 그의 집에서 크리덴셜 스터핑 공격에 사용된 악성 소프트웨어와 4000만 개의 사용자 이름 및 비밀번호 조합을 발견했다.
이처럼 사용자가 계정정보를 부주의하게 관리하는 경우 해킹, 부정 결제, 개인정보 유출 등의 피해로 커질 수 있다. 현직 한 화이트해커는 "사안마다 다르겠지만 특정인을 겨냥한 뒤 온라인에 남겨진 데이터가 많다면 (개인정보를) 금방 알아낼 수도 있다"고 뉴시스에 설명했다.
개인정보보호법 대상 확대…기업에 이용자 정보 보호 의무 강화
심지어 고학수 개인정보보호위원회 위원장도 “드물지만 내 실명을 대면서 오는 스팸 문자가 있다. 나오 이런 잠재정 피싱(전화 사기)을 몇 차례 겪었다”며 “그러면 경각심이 올라간다. 휴대전화 번호와 그 번호를 사용하는 실명이 어딘가에서 유출되는 상황은 훨씬 문제가 커지기 때문이다”라고 머니투데이에 전했다.
고 위원장은 최근 개인정보위 출입기자단과의 오찬 간담회에서 “크리덴셜 스터핑'은 아주 일상화돼 있다. 너무 희귀한 공격 방식이면 몰라도 흔히 있는 방식이면 (기업이) 대비를 해야 한다"며 "근래에 많이 도입하는 2단계(투팩터) 인증을 비롯해 멀티팩터 인증 등 시장의 동향, 해킹 시도 동향 같은 것도 기업이 업데이트를 계속해야 할 것”이라고 매체를 통해 경종을 울렸다.
이 같은 범죄를 줄이기 위한 당국 차원의 노력을 알리기도 했다. 그는 "올해 개인정보보호법 개정으로 과징금 상한액이 높아졌다"며 "사람들이 인식을 잘 못하는 것 중 하나가 '온·오프라인' 구분을 없애면서 과징금 대상이 되는 잠재적 과징금 대상 수범자가 대폭 넓어졌다는 점"이라고 매체를 통해 강조했다. 개인정보 유출에 대한 규제가 종전에는 온라인 사업자에 대해서만 적용됐지만 이제는 온·오프라인 구분 없이 모든 사업자로 확대된 것이다.
수백만명에 달하는 개인정보가 유출된 골프존이 당장 이달 개정된 개인정보법의 적용을 받는다. 이와 관련해 고 위원장은 "사건을 개별 건마다 보고 받지는 않지만 당장 골프존 사건은 (개인정보위에서) 처리하고 있을 것"이라며 "골프존에 대해서는 계속 2022년 기준 5666억원의 매출에 정보보호 투자금은 0.3%, 20억원 수준밖에 안 된다는 보도가 나온다"고 지적했다.
제재를 받는 기업·기관의 입장에서는 자신들도 해커의 공격을 받은 피해자임에도 제재가 과중하다고 억울해할 수 있다. 이에 고 위원장은 "개인정보 유출이 발생한 기업을 (당국이) 처벌하는 이유 중 하나는 사회정책적인 것"이라며 "기업이 피해자이면서도 가해자이기도 하기 때문이다. 고의가 없더라도 이용자들의 피해를 최소화하기 위해 어떤 노력을 했는지를 보겠다는 것"이라고 언급했다.
과학기술정보통신부와 한국인터넷진흥원(KISA) 역시 지난 17일 열린 ‘사이버 위협 인텔리전스 네트워크’에서 “국내 기업과 기관들을 대상으로 하는 크리덴셜 스터핑 공격이 연이어 발생했다”며 “각 기업·기관들은 로그인 시도 횟수 제한, 2차 인증 기능 제공 등 이용자 인증 관련 보안성을 더욱 높여야 한다”고 못박았다.
개인도 주기적 비밀번호 변경·휴대폰 2차 인증 등 노력해야
웹사이트를 이용하는 개인의 노력도 필요하다. 크리덴셜 스터핑 공격 피해를 예방하기 위해서는 아이디와 비밀번호 만을 사용하는 기본적인 1차 인증 수준을 넘어 보안 앱과 인증된 기기 인증이나 SMS 인증 등을 적용한 2차 인증을 적용해야 한다.
아울러 대소문자, 숫자, 특수 문자 포함해 8자리 이상의 비밀번호를 사용하되 개인만의 비밀번호 생성 규칙을 2~3개 정도를 만들어 각 사이트 별로 다르게 설정하는 것도 좋은 보안 대책이다. 이외에도 △3개월마다 주기적으로 비밀번호 변경하기 △타인에게 자신의 계정 정보를 공유하지 않기 △본인 소유가 아닌 전자기기를 사용할 시 초기화 설정을 습관화하기 등 기본적이면서도 실천하기 귀찮은 노력을 기울여야 개인정보 유출을 사전에 방지할 수 있다.
장상근 로그프레소 연구소장은 "개인이 아무리 보안을 잘 하더라도 사용하는 사이트가 해킹당하면 의미가 없기 때문에 모든 사이트에서 2차 인증을 사용하는 것이 가장 중요하다"고 뉴시스를 통해 조언했다.
사용 중인 PC나 스마트폰의 소프트웨어나 앱은 최신 버전으로 유지해 악성코드·취약점을 통한 공격에 대응하고 안티바이러스 소프트웨어를 통해 정기적으로 검사하는 것을 권장한다.
한편 개인별 계정정보 유출 여부가 궁금하다면 ‘털린 내 정보 찾기’나 ‘Have I Been Pwned’ 등의 서비스를 통해 직접 확인할 수 있다.
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >