"100만원어치 날렸다"…오늘은 꼭 비밀번호 바꿔야 하는 이유 [선한결의 IT포커스]

'무작위 대입' 통한 로그인 사례 잇따라
지마켓·인터파크·LG유플러스 등 피해
1차 원인 아직 미상…개인정보 도용 막으려면 비번 바꿔야
자료사진 로이터
대부분 독자님들은 주로 쓰는 ID와 비밀번호가 있으실겁니다. 포털 사이트나 메신저, 쇼핑 플랫폼, 각종 앱 등에서 같은 아이디와 비밀번호를 돌려 쓰는 식입니다. 비밀번호 변경 권장 페이지에서도 습관적으로 ‘다음에 변경’ 버튼을 누르는 경우가 많고요. 이렇게 특정 로그인 정보를 오래 쓰고 있으시다면 오늘은 비밀번호를 바꾸시길 권장합니다. 최근 인터넷 플랫폼 업계에서 ‘1차 원인’을 알 수 없는 개인정보 해킹 사건이 이어지고 있기 때문입니다.

19일 IT업계에 따르면 지난달부터 여러 대형 웹사이트에서 '크리덴셜 스터핑' 기법을 통한 개인정보 도용 사태가 이어지고 있습니다. 특정한 공식이나 기법이 없는 채 이미 해커가 확보한 정보를 단순히 무작위로 입력해 보는 식으로 로그인을 시도한다는 겁니다. 특정인이 자주 쓰는 ID와 비밀번호를 알 경우 다른 아무 웹사이트나 들어가서 로그인 시도를 해보는거죠. 이같은 방식은 통상적으로는 성공 확률이 매우 낮습니다. 대부분 웹사이트나 앱이 무작위 대입을 막기 위한 조치를 해놨기 때문입니다. 특정 횟수만큼 로그인 시도에 실패하면 일정 시간 로그인 시도 자체를 차단하고, 외부에서 로그인 시도가 발생했음을 사용자에게 알려주는 게 대표적입니다.

하지만 해커가 누군가의 ID와 비밀번호 전부, 혹은 일부를 가지고 있다면 얘기가 달라집니다. 말그대로 그냥 비밀번호 입력 시도 몇 번만에 개인정보가 털릴 수 있기 때문입니다. 그리고 요즘 딱 이같은 상황이 벌어지고 있습니다.

가장 최근 사례는 지마켓입니다. 업계에 따르면 이달 초부터 미상의 IP가 다른 일부 이용자들의 계정으로 지마켓에 접속해 각 이용자들이 앞서 구매해놓은 모바일 상품권을 무단 사용했습니다. 한 이용자는 이번 사태로 상품권 100만원어치를 도난당했습니다. 지마켓 고객센터는 해당 이용자에게 중국에서 접속한 IP가 계정을 도용한 것으로 추정된다고 안내했고요.
지난달엔 LG유플러스 웹사이트에서 비슷한 일이 일어났습니다. 미상의 IP가 일부 이용자 계정으로 로그인해 이용 요금제를 아무렇게나 바꿔놓은 겁니다. 피해 이용자들은 요금제 변경 문자를 받고서야 타인이 자신의 계정에 로그인했다는 사실을 알았습니다. 시스템상으로는 로그인 시도 과정에서 해커가 틀린 정보를 수차례 입력하는 등 이상 징후가 없었기 때문입니다.

인터파크도 최근 이용자를 대상으로 개인정보 유출로 인한 로그인 시도가 의심된다는 공지를 띄웠습니다. 누군가 사전에 수집한 것으로 추정하는 타인의 계정정보를 악용해 인터파크에 로그인 시도를 했다는겁니다.
이들 세 업체의 설명은 모두 비슷합니다. 각 사가 자체 보관하고 있던 개인정보가 유출된 가능성은 없다는 게 주요 내용입니다. 세 업체 모두 모종의 개인이나 일당이 외부에서 확보한 개인 계정 정보를 가지고 웹사이트에 접속해 정보를 도용한 것으로 보고 있습니다. 같은 아이디와 비밀번호를 여러 사이트에서 쓰는 이들이 피해를 봤다는 설명입니다. 이에 대해 익명을 요청한 한 기업의 관계자는 "개인정보 유출 사건은 한국인터넷진흥원(KISA), 개인정보위원회 등 관계기관에 신고를 하고 조사를 받게 된다"며 "어차피 조사 과정에서 실제 정황이 드러나기 때문에 기업 입장에서도 거짓말을 할 이유가 없다"고 말했습니다.

그럼 누가 어디서 얼마만큼의 정보를 빼서 얼마나 악용하고 있는 것일까요. 현재까지는 알려진 바가 없고, 알 수도 없다는 게 보안업계의 중론입니다. 크리덴셜 스터핑 공격은 데이터 기록을 남기지 않기 때문입니다.

신승민 큐비트시큐리티 대표는 "통상 웹 서버는 누가 접속했는지를 알려주는 IP 헤드 정보를 로그(기록)로 남기지만, 아이디와 패스워드를 입력한 정보는 로그로 남기지 않는다"며 "웹서버 운영자 입장에서도 로그가 없기 때문에 어느 누가 ID와 비밀번호 정보를 얼마만큼 서버로 보냈는지 알 수 없는 구조"라고 설명했습니다. 기존 선례만 본다면 크리덴셜 스터핑 공격의 성공률은 약 10% 미만입니다. 2018년 우리은행이 이같은 방식으로 부정 로그인 시도를 겪었는데요. 당시 해커는 다른 웹사이트에서 확보한 ID와 비밀번호로 인터넷 뱅킹 접속을 시도했습니다. 동일 IP로 닷새간 75만건 시도가 있었고, 이중 5만6000여회가 로그인에 성공했다고 합니다.

피해 가능성이 10% 미만이라도 안심할 일은 아닙니다. 크리덴셜 스터핑이 계정 자체를 활용할 수 있는 공격인 만큼 이용자가 본인도 모르는 사이에 금전적·사회적 피해를 입을 수 있기 때문입니다.

보안업계는 '일단 오래 쓴 비밀번호를 바꾸라'고 입을 모아 조언합니다. 신승민 큐비트시큐리티 대표는 "이용자 입장에선 해커가 확보한 계정 정보가 더이상 유효하지 않도록 비밀번호를 바꾸는 게 최우선 조치일 것"이라고 말했습니다.

안랩 관계자는 "웹사이트마다 비밀번호를 다르게 설정하고, 비밀번호를 주기적으로 교체해야 피해 가능성을 낮출 수 있다"며 "장기간 사용하지 않는 서비스가 있다면 사이트에서 탈퇴해서 정보 유출 가능성을 막을 수 있다"고 했습니다. 그는 "악성코드 감염으로 인한 계정정보 탈취를 막기 위해 웹브라우저 내 비밀번호 자동 저장 기능도 사용을 자제하는 것이 좋다"고 덧붙였습니다. 기업이 보안을 강화해야 한다는 지적도 나왔습니다. 기업 내에서 직원간 특정 계정의 비밀번호를 공유할 경우 이를 중단하고, 주요 업무에 대해선 계정을 이중 인증하는 식으로 바꾸라는 이야기입니다. 한 계정의 정보가 유출되서 엮인 시스템이 줄줄이 피해를 보는 일을 막기 위해서입니다. 보안기업 지니언스의 김영덕 전략마케팅실 부장은 "어떤 것도 신뢰할 수 없다는 가정 하에 보안 정책을 운영하는 '제로트러스트' 원칙을 적용해야 한다"고 조언했습니다.

선한결 기자 always@hankyung.com