이메일과 각종 인터넷·모바일 서비스 이용에 쓰이는 계정을 대상으로 광범위한 탈취 시도가 이어진다.
16일 업계에 따르면 국회 청문회에서 `쓰까요정`으로 알려진 김경진 국민의당 의원은 최근 구글 메일 계정에 지속적 무단 접근 시도를 겪는 것으로 알려졌다. 지난해 대규모 개인정보 유출사고가 발생한 인터파크 역시 표적이 된 직원 가족의 네이버 메일 계정 도용이 단초가 됐다.
계정 탈취 시도는 단순 스팸 유포뿐만 아니라 온라인 거래 사기에 악용되거나 기밀자료 유출, 내부망 침투 등을 노린 지능형지속위협(APT) 공격으로까지 발전한다.
계정 해킹은 주로 허술하게 설정된 아이디·비밀번호가 노출되거나 사용자 스스로 계정정보를 입력하도록 교묘하게 꾸민 피싱 사이트, 스미싱 문자 등으로 인해 발생한다. 여러 사이트에 동일한 아이디와 비밀번호를 사용하면 한 곳만 유출돼도 동시다발적 피해를 입는다. 과거 발생한 개인정보 유출 사고가 다른 사이트에서 2차 피해로 이어지는 사례도 적지 않다.
일반적으로 불법 광고와 스팸 메시지 유포 등에 악용된다. 본인도 모르는 새 온라인 중고 거래 사이트에서 사기 행위에 악용돼 이용정지를 당하는 사례도 심심치 않게 등장한다.
신뢰할 만한 지인 이름으로 악성파일을 첨부한 메일을 보내는 등 일부 표적 공격 기법은 주변인 계정 탈취가 시발점이다. 계정 하나로 스마트폰과 게임을 비롯해 여러 서비스를 이용하는 간편 로그인 서비스가 활성화되면서 개인 활동이 노출될 가능성도 높아졌다.
보안 전문가는 비밀번호만으로 계정을 보호하기 어렵다고 경고한다. 서비스 제공업체 역시 아이디·비밀번호가 노출되더라도 무단 접근을 예방하는 다양한 추가 보안 기능을 도입했다.
네이버는 주로 활동하는 지역이 아닌 타지역이나 해외에서 시도되는 로그인을 차단하는 기능과 스마트폰 OTP(일회용비밀번호생성기), 로그인 전용 아이디, 새로운 기기 로그인 알림 등을 보안설정에서 제공한다. 타지역 접속 차단과 새로운 기기 로그인 알림을 설정하면 노출된 계정정보로 접속 시도가 이뤄질 때 사용자가 사전 인지하고 대응 가능하다.
로그인 전용 아이디는 메일, 블로그, 카페 등 외부에 표시되는 기존 아이디는 그대로 이용하면서 로그인할 때만 사용하는 별도 아이디로 계정정보 노출 가능성을 낮춘다. 로그인 시 본인 인증된 스마트폰에 설치된 네이버 앱으로 생성한 일회용 비밀번호 입력을 요구하는 네이버 OTP 기능은 다소 불편하지만 가장 보안성이 높다.
구글 역시 스마트폰과 FIDO U2F 기반 USB보안키를 이용한 2단계 인증 기능을 제공한다. 기존 알고 있는 정보(비밀번호)와 소지한 물건(스마트폰, 보안키 등)을 복합적으로 활용해 피싱과 계정탈취를 차단하는 구조다. 현재 웹브라우저용 구글 크롬에만 제공하는 U2F 기반 보안키 기술을 올해 모바일과 기업용 구글앱스 등 전 분야로 확대할 계획이다. 5만여명에 달하는 내부 임직원에 사전 도입해 보안사고 감소 효과를 검증했다.
평소 사용자 이용 패턴을 바탕으로 알 수 없는 기기나 생소한 지역에서 접속 시도 등 비정상적 활동을 감지해 알림을 보낸다. 기본적으로 이메일 알림이 전송되지만 휴대폰 문자 메시지로 수신되도록 신청 가능하다.
박정은기자 jepark@etnews.com
