편하다고 ‘자동 로그인’?…‘비밀번호’ 8백만 개 유출 [탐사K]
[앵커]
인터넷 사이트마다 필요한 아이디와 비밀번호..
매번 기억하기 쉽지 않아 웹브라우저에 저장해두고 '자동 로그인'하는 경우가 많은데요.
이런 허점을 노려 계정 정보를 탈취하는 범죄가 급증하고 있습니다.
KBS 취재 결과, 이미 8백만 개가 넘는 비밀번호가 유출된 것으로 파악됐습니다.
차정인 기자의 단독 보도입니다.
[리포트]
온라인 쇼핑몰에서 백여 명이 구매한 4천만 원 상당의 '상품권'이 사라지고...
게임이 출시되자마자 구매했던 '게임머니'가 사라졌습니다.
아이디와 비밀번호 등 인터넷 계정 정보를 탈취하는 일명 '크리덴셜 스터핑' 해킹의 피해 사례들입니다.
피해자들은 대게 계정 정보를 웹브라우저에 저장하고 '자동 로그인'하는 이용자입니다.
한 해커가 계정 정보들을 빼내 '다크웹' 등에 올리면 다른 해커들이 해당 정보를 가져가 범죄에 이용하기 때문에 피해는 순식간에 커집니다.
KBS가 한 보안연구소와 함께 다크웹에 유출된 국내 계정 현황을 분석해봤습니다.
해당 악성코드가 등장한 2016년부터 조금씩 증가하더니 최근 3년 사이 급격히 늘었습니다.
유출된 국내 계정 수만 8백만 개가 넘습니다.
[최상명/OO보안연구소 이사 : "이러한 (탈취 계정) 정보들을 판매해서 벌어들이는 수익이 많아지다 보니까 점점 더 많은 해커들이 여기에 참여하면서 매년 거의 2배 이상씩 (유출되고 있습니다.)"]
공공기관 계정 정보도 상당수 발견됐습니다.
'go.kr' 또는 'korea.kr'의 이메일 계정을 분류해봤더니 만여 개나 됩니다.
특히 교육기관 계정이 많았는데 경기도 교육청 관련 계정이 가장 많았습니다.
경기도교육청은 "교직원 등이 개인 목적으로 타 사이트에 가입한 경우가 다수로 추정된다"면서 KBS 취재가 시작되자 공공 계정 사용을 변경하라는 공문을 산하 기관에 배포했습니다.
전문가들은 인터넷 개인 정보는 한번 유출되면 돌이킬 수 없는 피해가 발생하기 때문에 될 수 있으면 웹브라우저에 계정 정보를 저장하지 않는 게 피해를 막는 최상의 방법이라고 강조합니다.
KBS 뉴스 차정인입니다.
자동로그인 기능을 쓰는 이들의 계정명과 암호를 해커가 탈취하는 범죄가 벌어지고 있다는 보도..
자동로그인의 위험성을 알리는 보도같은데.. 중요한게 없네요..
일단.. 요새 대부분의 웹사이트의 경우.. 2중 인증 기능을 제공합니다. 혹은 그 이상의 인증방법을 도입하기도 하죠.. 계정과 암호를 입력한 뒤에... 제2의 인증.. 메일이나 카카오톡.. 혹은 문자로 인증번호를 입력해서 로그인을 하는 방법.. 혹은 인증기를 따로 설정해서 인증기에서 주기적으로 변경되는 암호를 입력하여 로그인을 하거나... 인증기에서 로그인 동의를 받아야만 로그인을 하는 방식으로 말이죠..
거기다 재로그인을 하지 않도록 설정하면 저장된 IP에서 접속할때만 로그인이 된 상태로 접속이 되고.. 그외 지역에선 로그인을 해야 하죠.
그래서.. 위의 보도에선 이런 이중인증을 도입하지 않는 웹사이트에 가입하고.. 자동로그인을 하는 이들의 계정이 탈취된 것으로 보입니다.
결국... 2중인증만 사용해도 문제가 없다는 의미.. 설사 자동로그인을 설정했다 하더라도.. 늘 쓰던 컴퓨터나 스마트폰.. 태블릿 이외.. 다른 곳에서 다른 장치로 로그인시에는 자동로그인이 안되기에... 메일에서 로그인 시도가 되었다는 경고메일이나 문자가 오면.. 곧바로 비밀번호를 변경하면 안전하죠..
그리고.. 자동로그인을 하더라도.. 사실 그 로그인 정보마저 바로 없앨 수 있습니다.
웹브라우저에서 저장된 쿠키와 사이트 정보를 없애면 됩니다..
참고링크 : HTTP 쿠키
크롬이나.. 사파리.. 인터넷 브라우저는 한번 방문한 웹사이트의 경우 쿠키라 해서 정보를 저장합니다. 이 쿠키에 계정명과 암호가 설정되어 있어 로그아웃을 하지 않는 한.. 쿠키의 정보로 로그인이 된 사이트를 재방문 할 수 있죠.. 자동로그인은 이런 쿠키를 이용하는 경우가 대부분일 겁니다.. 따라서.. 설정을 하여 브라우저를 종료할 때 쿠키를 전부 지워지게 하던지... 방문기록등을 삭제할 때..쿠키를 지워버리면 그 웹사이트의 정보와 방문기록등이 삭제가 되기에.. 재방문시 사이트가 열리는 속도는 이전과는 다르게 느려질 수 있고(관련 정보를 다시 다운받아야 하기에..) 자동로그인을 설정했더라도 관련 정보는 모두 삭제했기에 다시 로그인을 하는 번거로움은 있긴 합니다..
그래도 위의 보도에 나오는 피해를 예방하는 방법입니다.. 이런 내용이 위의 보도내용에는 누락이 되어 있네요..
그외.. 인터넷 브라우저의 기능중에는 쿠키를 저장하지 않는 기능을 제공하기도 합니다. 시크릿기능이라고 하죠.. 그 기능을 이용할 시.. 방문기록과 쿠키를 남기거나 다운받지 않기에 안전한 웹서핑이 가능합니다. 로그인도 되죠.. 다만 창을 닫으면 저장된게 없기에 재방문시 마찬가지로 로그인을 다시 해야 합니다.. 그래서.. 공공피시등에서 웹서핑을 불가피하게 해야 한다면.. 시크릿기능을 활용하는게 안전한 계정보호방법입니다.