포스팅 내용

전문가 기고

여러분의 계정은 안전한가요?

여러분의 계정은 안전한가요?


2015년, 을미년의 해가 밝았습니다. 

작년에도 크고 작은 개인정보 유출 사건들이 있었고, 지금도 우리가 모르는 사이에 개인정보들이 유출되고 있을 모릅니다. 


이처럼 빈번한 개인정보 유출 때문에 우스갯 소리로 '개인정보는 공공재'라는 말이 생기기도 했는데요.

내 잘못으로, 혹은 기업의 관리 소홀 등 여러 가지 이유로 유출된 개인정보들은 지하세계에서 거래되어 범죄를 위한 수단이 되기도 합니다. 


해커들이 개인정보를 얻는 방법에는 여러 가지가 있습니다. 그 중 한가지는 이미 자신들이 확보한 개인정보를 활용하여 계정 비밀번호에 무작위로 대입해보는, 일명 Brute Force 공격 방법이 있는데요.  이를 통해 더 많은 개인정보를 수집할 수 있습니다.



Brute Force 공격의 핵심은 'PC 사용자 대부분이 어느 사이트에 가입해도 거의 동일한 ID와 동일한 PW를 사용한다는 성향'을 노리고, 이를 악용한다는 것입니다. 예를 들어, 해커가 A사이트의 아이디와 패스워드가 포함된 DB를 얻었다고 가정해 봅시다. 그렇다면 이 해커는 해당 아이디와 패스워드를 B, C 등 다른 사이트에 무작위로 대입시켜, 동일한 아이디와 패스워드를 갖고 있는 사용자 계정으로 로그인을 시도합니다. 이에 성공하면 이미 갖고있는 정보 외에 추가적으로 이름, 생년월일 등 더 많은 개인정보를 얻어낼 수 있습니다.


거의 모든 사이트에는 동일한 계정에 대하여 알맞지 않은 비밀번호를 수회 입력할 경우, 더 이상 입력할 수 없도록 계정이 잠겨 버리거나 휴대폰 인증과 같은 다른 수단으로 본인인증을 진행하게 하는 임계치 설정이 되어 있습니다. 하지만 다른 사이트와 동일한 계정을 사용하는 사람들은 이러한 임계치에 다다르기 전에 로그인이 되어 버릴 수 있습니다.


실제로 2014년 12월 말, 한국의 코레일과 같은 중국의 기차표 예매사이트인 '12306' 에서 13만명의 회원정보가 유출된 사건이 발생했습니다. DB정보 유출경로에 대해 여러 가지 추측이 난무했습니다. 조사 결과, 해커가 어떠한 경로로 얻은 개인정보를 무차별적으로 대입해보는 Brute Force 공격을 시도했고, 이로 인해 정보가 유출된 것이 확인되었다고 중국언론이 보도하였습니다.


이러한 추가적인 피해에 대비하기 위해, 여러 사이트에서는 3개월 혹은 6개월에 한번씩 비밀번호를 바꾸라는 안내창을 띄워 줍니다. 또한 8자리 미만의 짧은 비밀번호 설정 금지, 숫자와 특수문자를 꼭 포함할 것 등 여러 제약들을 걸어놓습니다. 그러나 이러한 안내를 따라 복잡하게 비밀번호를 만드는 사용자들은 매우 드뭅니다. 


계정정보 설정만 잘해도 자신의 계정을 안전하게 보호할 수 있다는 것을 잊지 마시고, 2015년에는 적절한 비밀번호 설정으로 안전하게 계정을 보호하시기 바랍니다.


※ 안전한 계정을 위한 비밀번호 설정 수칙


1. 각 사이트마다 비밀번호를 상이하게 설정한다. 이것이 번거롭다면 중요한 정보를 포함하는 금융권 사이트에 한해서라도 비밀번호를 상이하게 설정한다.

2. 비밀번호 설정시 연속되는 문자, 숫자를 사용하지 않는다.

3. 사이트 로그인 후 비밀번호 변경 안내 메시지창이 발생하면 '다음에 변경하기'를 클릭하지 말고, 그 즉시 비밀번호를 변경한다. 

4. 나만의 비밀번호 설정 규칙을 만든다.



티스토리 방명록 작성
name password homepage