개인정보위, '털린 내정보 찾기' 이메일 조회 추가...다크웹 유출 정보 확인 강화

크리덴셜 스터핑 공격 급증에 따라 서비스 확대 개편, 1월 29일부터 본격 운영

[한국정보기술신문] 개인정보보호위원회가 다크웹 등에 유출된 개인정보를 확인할 수 있는 '털린 내정보 찾기 서비스'를 확대 개편해 1월 29일부터 본격 운영에 들어갔다. 최근 다크웹에 유출된 계정정보를 악용한 크리덴셜 스터핑 공격이 급증함에 따른 조치다.

개인정보위는 30일 이같은 내용의 보도자료를 배포하고, 털린 내정보 찾기 서비스를 통해 국민들이 자신의 개인정보 유출 여부를 직접 확인할 수 있다고 밝혔다. 크리덴셜 스터핑은 공격자가 어떤 방법으로든 취득한 계정과 비밀번호 정보를 다른 사이트에서도 동일하게 사용해 성공할 때까지 로그인을 시도하는 해킹 공격이다.

털린 내정보 찾기 서비스는 이용자가 평소 사용하는 아이디와 비밀번호 조합을 입력하면 다크웹 등에서 해당 계정정보가 불법 유통되고 있는지를 확인할 수 있는 서비스다. 유출이 확인되면 이용자는 비밀번호를 변경하거나 2단계 인증을 설정해 계정 해킹 위험을 줄일 수 있다.

이메일 주소 조회 범위 확대, 편의성 향상

이번 개편의 핵심은 조회 범위 확대다. 기존 아이디와 비밀번호 조회 외에도 이메일 주소로도 조회가 가능하도록 했다. 이는 최근 이메일을 아이디로 사용하는 서비스가 늘어나는 추세를 반영한 것이다.

개인정보위는 입력된 계정정보 교차조회 방식을 도입하고, 일일 이용 횟수를 기존 1회에서 3회로 늘리는 등 서비스 기능을 강화했다. 홈페이지 인터페이스 개선을 통해 이용자 편의성도 향상시켰다.

현재 서비스 누리집에서는 개편된 서비스에 대한 이용 경험 및 만족도 설문조사가 진행 중이다. 개인정보위는 설문조사 결과를 추후 서비스 개선 시 적극 반영할 방침이다.

개인정보처리자에 보안 강화 요청

개인정보위는 증가하고 있는 개인정보 유출 사고를 줄이기 위해서는 국민들의 적극적인 예방 노력이 중요하다고 강조했다. 이를 위해 털린 내정보 찾기 서비스를 적극 활용해달라고 당부했다.

또한 개인정보처리자에 대해서도 이상 행위에 대한 침입 탐지와 차단 조치 등 보안대책을 강화할 것을 요청했다. 구체적으로는 로그인 시도 시 캡챠 적용, 개인정보 포함 페이지 접근 시 추가 인증 적용 등을 적극 도입하라고 권고했다.

캡챠는 간단한 테스트를 통해 사람과 컴퓨터를 구분하는 인증 방식으로, 자동화된 공격을 방어하는 데 효과적이다.

서비스 이용 방법

털린 내정보 찾기 서비스는 3단계로 구성돼 있다. 먼저 사용자 인증을 거친 후 유출 여부를 조회하고, 최종적으로 유출 여부를 확인하는 방식이다.

서비스는 개인정보보호위원회 털린 내정보 찾기 서비스 누리집을 통해 이용할 수 있다. 이용자는 자신의 아이디, 비밀번호 또는 이메일 주소를 입력해 다크웹에 유출된 정보가 있는지 확인할 수 있다.

개인정보위 송경희 위원장은 "국민들이 털린 내정보 찾기 서비스를 통해 자신의 정보 유출 여부를 확인하고, 필요한 조치를 취해주시기 바란다"며 "개인정보처리자들도 보안 강화에 적극 동참해주시길 당부한다"고 말했다.

한국정보기술신문 정보보안분과 안서진 기자 news@kitpa.org