‘댕댕이 비번’도 위험하다, 해킹 피해 막는 ‘키’포인트
‘해킹의 시대’ 나를 지켜주는 생존법
경제+
쿠팡 3370만명, SKT 2300만명, 넷마블 611만명…. 돌아서고 나면 줄줄이 터지는 해킹·개인정보 유출 피해 사건들을 보며 ‘개인정보는 이제 공공정보가 됐다’는 자조섞인 반응이 정설이 되고 있다. 실제 경제·물리적 피해는 아직까지 없었다 해도, 싹 다 털린 탓에 앞으로 어찌 될지 모른다는 찜찜함은 계속 커지고 있다. 하지만 아직 늦지 않았다. 일부 개인정보가 해커 손에 들어갔다 해도, 조금만 부지런해지면 금전적 피해로 이어지는 최악의 상황은 막을 수 있다. 내 개인정보의 다크웹(특수 브라우저를 통해서만 접속 가능한 암호화된 웹사이트) 유출 여부를 확인하는 방법부터, 휴대전화와 내 계좌를 잠재적 범죄자들로부터 지키는 방법, 보안 전문가들이 스스로 꼭 실천하는 피해 방지법, 언제 가입했는지 모르는 사이트에서 내 계정을 한방에 없애는 방법까지 싹 다 모았다.
개인정보 유출 사고에 유독 사람들이 찜찜함을 느끼는 이유는 어떤 정보가 얼마나 털렸고, 그 정보가 누구 손에 있는지 알기 어렵기 때문이다. 그런 만큼 이중, 삼중으로 확인하는 게 핵심이다.
한국인터넷진흥원(KISA)이 운영하는 ‘털린 내정보 찾기’ 홈페이지에 접속하면 다크웹 등에서 유통되고 있는 내 정보의 유출 여부를 확인할 수 있다.
사용법: 먼저 1차 사용자 인증을 위해 홈페이지에 나의 이메일 주소를 입력하고 인증번호를 받아서 적어넣는다. 2차 인증으로 악성 소프트웨어를 걸러내는 리캡챠(reCAPTCHA)를 완료하고 나면 본격적으로 정보 찾기가 시작된다. 최대 10개의 계정정보(아이디·패스워드)를 입력할 수 있다. 평소 사용하는 계정과 비밀번호를 입력한 후 조회 버튼을 누르면 각각의 계정에 대한 유출내역을 확인시켜준다.
정보 유출 알림 사이트 ‘해브 아이 빈 폰드’(Have I Been Pwned·HIBP)에서도 개인정보 유출을 파악하는 것이 가능하다.
사용법: HIBP는 사용법이 가장 간단하다. 홈페이지에 접속해 메인 화면 검색창에 자신의 이메일 주소를 적어넣기만 하면 된다. 유출 여부 확인 창 아래의 ‘통보(Notify Me)’ 버튼을 클릭하면, 해당 이메일 계정에 대한 정보 유출이 추후 탐지됐을 때 이를 해당 이메일로 통보받을 수도 있다. 여러 이메일 계정을 통보 목록에 넣을 수 있고, 개인 단위에선 따로 비용을 내지도 않는다.
HIBP는 마이크로소프트의 지역 디렉터이자 MSP(Most Valuable Professional)인 정보보안 전문가 트로이 헌트가 2013년부터 운영하는 곳이다. 지금까지 929개 웹사이트로부터의 172억9503만여개 계정 유출을 탐지(10일 기준)해냈다. 그간의 탐지 내역도 홈페이지에 정리돼 있다.
2. 도용 길목을 막아라
내 개인정보가 다크웹에서 유통되고 있는지 파악했다면, 금융 범죄 등의 위협에서 스스로를 보호하는 방법이 있다. 먼저 오늘날 신분증·통장·신용카드·인증수단 등 다양한 역할을 다 하고 있는 스마트폰부터 지켜야 한다.
한국정보통신진흥협회(KAIT)가 운영하는 엠세이퍼(Msafer)를 통하면 본인 명의의 전기통신서비스 가입현황을 실시간 조회할 수 있다. 엠세이퍼 홈페이지의 가입사실현황조회서비스 탭을 클릭한 뒤, 공동인증서나 금융인증서로 로그인만 마치면 즉시 서비스 이용이 가능하다. 이동통신과 유선통신으로 나뉘어 있는 버튼을 누르는 것만으로 각각의 가입사실을 확인할 수 있다. 여기서 본인이 인지하지 못한 통신사가 목록에 있다면 즉시 해당 통신사 고객센터에 연락해 명의도용 신고를 접수하고 회선을 정지해야 한다.
나도 모르게 이동통신 서비스에 가입되는 것을 막기 위해 가입 제한 서비스를 신청해두는 것도 방법이다. 엠세이퍼 서비스 목록 중 ‘가입제한서비스’를 클릭하면, 알뜰폰을 포함한 모든 통신사에 대한 개통 제한 여부를 각각 설정할 수 있다. 일괄로 전체 통신사의 개통을 제한하는 것도 가능하고, 범죄 이용 가능성이 비교적 높다고 알려진 알뜰폰 사업자를 골라서 개통을 제한할 수도 있다.
휴대전화보다 더 중요한건 금융계좌다. 금융결제원이 운영하는 어카운트인포(Account Info) 모바일 앱을 통한다면 각종 내 금융 계좌에 부정의 씨앗이 싹텄는지 한눈에 확인하고 즉시 차단하는 것도 가능하다. 어카운트인포는 웹사이트로도 이용 가능하지만 모바일 앱에 최적화돼있어 모바일 앱 이용을 추천한다. 앱마켓에서 어카운트인포를 검색해 다운로드받은 뒤 공동인증서 또는 금융인증서 중 하나로 회원 가입하면 즉시 활성화된다.
이 앱의 핵심 서비스는 내 계좌와 내 카드 개설 내역을 한눈에 보여준다는 것이다. 모바일 앱 정중앙의 ‘내 계좌 한눈에’ 탭을 누르면 은행권과 제2금융권, 증권사의 모든 계좌 목록을 살펴볼 수 있다. 사용하지 않는 계좌 등은 앱 내에서 단 몇초 만에 해지를 완료할 수 있다. 어카운트인포에서 금융 거래를 부분적으로 차단하는 것도 가능하다. 올해 본격 시행에 들어간 ‘여신거래 안심차단’, ‘비대면 계좌개설 안심차단’, ‘오픈뱅킹 안심차단’ 등을 이용하면 된다. .
여기까지만 완료하고 다시 일상으로 돌아간다면 2차, 3차 피해에 또다시 노출될 가능성이 크다. 비밀 번호도 잘 만든 비밀번호와 못 만든 비밀번호가 있다. 과기정통부 가이드에 따르면 특정 패턴을 갖는 비밀번호(qwerty 등 키보드상 연속한 위치의 문자조합이거나 123123 등 동일 문자의 반복)는 피해야 한다. 제삼자가 쉽게 알 수 있는 생일·휴대전화번호 등을 적용하는 것도 위험하다. 구글은 자신의 별명이나 이니셜, 자녀 또는 반려동물의 이름을 넣는 것을 피하라고 한다. ‘password(비밀번호)’, ‘letmein(들여보내줘)’ 등 뻔한 문구도 자제하라고 조언한다.
대신 ‘길지만 기억하기 쉬운 비밀번호’를 추천한다. 12자 이상의 ‘좋은 비밀번호 요건’을 갖추면서도 기억하기 쉬운 노래나 시의 한 구절, 영화나 연설에서 인상적이었던 구절을 활용하는 식이다. 과기부 가이드는 사이트별로 다른 비밀번호를 설정하길 추천한다. 기본 패스워드(예: 486*+)를 하나 정해둔 뒤 각 사이트명의 짝수 번째 문자(NAVER의 경우 ‘AE’, GOOGLE의 경우 ‘OGE’ 등)를 추가해 붙이는 방식을 사용한다면 해커가 패턴을 유추하기 어려우면서도, 사용자가 기억해내기는 쉬운 비밀번호를 완성할 수 있다.
온갖 사이트에 가입해둔 채 잊고 있었던 내 사이버 생활 흔적은 해커들이 내 중심부로 침투할 수 있게 하는 단서가 될 수 있다. 개인정보보호위원회가 운영하는 개인정보포털에서 ‘본인확인 내역이 조회되는 웹사이트에 대한 탈퇴신청 지원 서비스’를 활용하면 회원가입 내역을 한 번에 정리하는 것이 가능하다. 이메일 인증을 추가하면 이 중 원하는 사이트의 탈퇴도 대신해준다.
4. 패스키
비밀번호의 취약점은 잊어버리기 쉽고 탈취가 가능하다는 점이다. 최근엔 그런 한계를 넘어서기 위한 ‘패스키’가 주목받고 있다. 패스키는 단순히 비밀번호를 저장해주는 것이 아니라, 아예 비밀번호 없이 로그인하게 하는 새로운 표준 보안 기술이다. 마치 스마트폰 잠금을 해제하듯, 지문이나 얼굴 인식, 또는 PIN만으로 1초 만에 로그인을 실행할 수 있다. 비밀번호란 개념이 적용되지 않기 때문에 피싱 자체가 불가능하다.
구글이 대표적으로 패스키를 지원한다. 하지만 구글 생태계를 벗어나면(아이폰 + 윈도우 PC) 사용이 다소 번거로울 수 있다. 이럴 땐 오픈소스 기반 보안 업체를 이용하는 것도 방법이다. 비트와든(bitwarden)이나 1패스워드(1password) 같은 비밀번호 관리자 업체는 보안업계에서 가장 신뢰할 수 있는 수준의 패스키를 제공한다. 개인은 무료 또는 저렴한 가격에 이용 가능하다.
이거 나만 모르는 거야? 이거 나랑 무슨 상관이야? ‘나와 연관있는 IT 기사’를 쉽게 풀어드립니다. 더중플 ‘팩플’에서 재미와 깊이를 잡으세요.
https://www.joongang.co.kr/article/25389022
쿠팡 없어도 살만하더라? 탈팡족 잡아라, 이커머스 전쟁
https://www.joongang.co.kr/article/25390136
“배민다움 사라졌다, 쿠팡도 싫다” 손님 입맛 되돌릴 배달전쟁
https://www.joongang.co.kr/article/25390742
네이버-토스 ‘결제 전쟁’ 붙었다…근데 카카오는 왜 불구경만 해?
https://www.joongang.co.kr/article/25387180
정용환([email protected])