국내 1362개 웹사이트 계정정보 '다크웹' 노출
개인정보위, 안전조치 완료..진위 여부 확인 중
2021년부터 '계정정보 유출확인시스템' 유출
[파이낸셜뉴스]
개인정보위, 안전조치 완료..진위 여부 확인 중
2021년부터 '계정정보 유출확인시스템' 유출
개인정보보호위원회와 과기정통부는 8일 국내 1362개 웹사이트의 계정정보 2346만여건이 해외 다크웹에서 유통되는 '불법 개인정보 DB'에 포함된 것을 확인했다고 밝혔다. 이메일 주소, 아이디, 패스워드 등 정보다. 해당 DB에서 '.kr' 도메인을 포함한 웹사이트만 추린 데이터다.
■"추가적인 개인정보 탈취 우려"
개인정보위는 해당 불법 DB에 포함된 계정정보의 진위를 확인하고 있다. 이밖에도 피해예방을 위해 해당 웹사이트 관리자에 계정정보 유출 여부에 대한 확인을 요청했고, 과기정통부와 협력해 주요기업의 최고정보보호책임자에 사이버공격에 대한 대비를 공지하는 등 필요한 안전조치를 완료했다고 전했다.
웹사이트 사업자의 자체점검 결과 계정정보 유출사실이 확인된 경우, 개인정보위의 공식적인 조사가 진행된다.
주요 이메일 서비스 회사에도 해당 불법 DB와 계정이 일치하는 이용자에 대한 추가 보호조치를 금주 내에 완료해달라고 요청했다.
개인정보위 관계자는 "해당 DB에 포함된 웹사이트는 대부분 중소 규모의 민간 또는 공공사이트로, 대형 민간웹사이트는 없었다"고 말했다.
많은 이용자가 여러 웹사이트에서 동일 아이디와 비밀번호를 이용하는 행태를 고려할 때, 특정 사이트의 계정정보가 유출될 경우 이를 활용한 크리덴셜 스터핑(credential stuffing)을 통해 추가적인 개인정보의 탈취로 이어질 수 있다는 게 개인정보위의 설명이다.
크리덴셜 스터핑은 해커가 확보한 특정 사이트의 사용자 계정정보를 다른 사이트에 무작위로 대입해 개인정보를 탈취하는 행위다. 최근 2년간 전 세계에서 총 880억건의 크리덴셜 스터핑이 발생했다.
■구글이 모은 40억건 유출정보 연계
개인정보위는 국민들의 불안감 해소를 위해 '웹사이트 계정정보 유출확인시스템'을 구축키로 했다. 이번에 확보한 불법 계정정보와 구글이 확보한 약 40억건의 유출 계정정보를 연계해 내년 상반기까지 시스템을 운영한다는 계획이다. 2022년부터는 국내 주요 인터넷기업과도 협력해 유출 계정정보 DB를 지속 확충할 예정이다.
이를 위해 개인정보위는 8일 관계부처와 주요 인터넷기업과 함께 이번에 확보한 불법 계정정보 DB에 대한 이용자 보호조치 상황을 공유하고, 유출확인시스템 구축·운영방안을 논의했다.
한편 개인정보위는 인터넷상에 해당 DB의 추가 게시·유통 여부를 지속 탐지해 삭제하고, 불법 DB를 상습 게시할 경우 수사를 의뢰할 방침이다.
윤종인 개인정보보호위원장은 "주기적인 비밀번호 변경과 2단계 인증 로그인 등 일상 속 개인정보 보호수칙 실천으로 소중한 개인정보를 안전하게 지킬 수 있도록 노력해달라"고 당부했다.
eco@fnnews.com 안태호 기자
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지