개인정보위, ‘털린 내 정보 찾기’ 서비스 강화…이메일 조회 추가

[산업일보]
개인정보보호위원회(이하 개인정보위)가 최근 ‘털린 내 정보 찾기’ 서비스를 확대 개편해, 기존 아이디·비밀번호 조회에 더해 이메일 주소도 조회할 수 있도록 했다.

이번 개편은 최근 다크웹에 유출된 계정 정보를 악용한 ‘크리덴셜 스터핑(credential Stuffing)’ 공격의 급증에 따른 대응이다. 크리덴셜 스터핑은 공격자가 취득한 계정·비밀번호 정보를 다른 사이트에서도 동일하게 사용해 로그인을 시도하는 방식의 해킹 공격이다.

지난해 ㈜티머니가 운영하는 ‘티머니 카드&페이’ 웹사이트에서도 해당 공격을 받아 5만 1천691명의 개인정보(이름, 이메일 주소, 휴대폰 번호, 주소)가 유출되는 사고가 발생했다.

털린 내 정보 찾기 서비스는 평소 사용하는 아이디와 비밀번호 조합을 입력하면 다크웹과 같은 음성화 사이트에서 해당 계정정보가 불법유통되고 있는지 확인할 수 있는 서비스다.

개인정보위는 이메일 주소를 아이디로 사용하는 서비스가 늘어나는 추세를 반영해, 이메일 주소도 조회할 수 있도록 범위를 확대했다. 또한 입력된 계정정보를 교차로 조회하는 방식을 도입하고 일일 이용 횟수를 1회에서 3회로 늘리는 등 홈페이지 인터페이스 및 서비스 기능을 강화해 이용자 편의성을 높였다.

보도자료에서 개인정보위는 ‘개인정보 유출 사고를 줄이기 위해서는 국민의 적극적 예방 노력이 중요하다’라며 털린 내 정보 찾기 서비스 활용을 당부했다. 유출이 확인되면 이용자는 비밀번호를 변경하거나 2단계 인증을 설정해 계정 해킹 위험을 줄여야 한다.

개인정보처리자에 대해서도 이상행위에 대한 침입 탐지·차단 조치 등 보안대책을 강화하고, 로그인 시도 시 문자·그림을 제시하는 ‘캡챠(CAPTCHA)’ 적용 및 개인정보 포함 페이지 접근 시 추가 인증 등을 적극 도입해야 한다고 요청했다.