개인정보 유출 사고가 급증하면서 우리의 개인정보가 얼마나 취약한지 다시 한번 인지하게 되었습니다. 유출된 개인정보는 피싱, 사기, 명의도용 등 심각한 피해를 야기할 수 있습니다. 이러한 위험을 방지하기 위해 마련된 ‘털린 내 정보 찾기’ 서비스를 소개합니다.
1. 털린 내 정보 찾기 서비스란?
다크웹 등 음성화 사이트에서 내 계정정보가 유통되고 있는지 확인하는 서비스입니다. 내 정보가 유출이 됐고, 2차 피해까지 입을 수 있는데, 이를 방지하기 위한 서비스입니다.
본 서비스는 사용자가 입력한 계정정보(아이디, 패스워드)를 암호화하여 단순 비교만을 수행하는 것이고요. 비교를 위해 사용자가 입력한 평문 데이터를 저장하거나 보관하지 않습니다.
다크웹이란?
다크웹은 특수한 브라우저를 통해서만 접속할 수 있는 웹으로 익명성과 추적불가로 블랙마켓에 활용되는 경우가 많습니다. n번방 사건으로 많이 알려진 다크웹에서는 개인정보, 위조, 마약, 해킹정보 및 성 착취물 등이 유통되어 사회적 문제가 되고 있습니다.
2. 계정 정보 유출 여부를 확인해야 할 이유는?
웹사이트에서 사용하는 아이디(ID)와 패스워드(PW)를 동일하게 하여 여러 곳에서 사용하는 분들이 많죠. 저도 그렇고요. 그래서 아이디와 패스워드는 다른 어떤 정보보다 민감한 개인정보입니다. 누구인지를 너무 확실하게 특정할 수 있는 정보이고요.
따라서 어느 한 곳의 계정 정보가 불법적으로 유출되고, 유통되는 경우에는 크리덴셜 스터핑 공격으로 악용되어 명의도용, 사기 거래, 보이스피싱 등의 피해가 발생할 수 있습니다.
털린 내 정보찾기 서비스를 통해 유출 여부를 인지하였다면, 사용자는 신속히 가입한 사이트에 접속하여 패스워드를 변경하여 2차적인 유출 피해를 예방해야 합니다.
크리덴셜 스터핑(Credential stuffing) 공격이란?
사용자들이 온라인 상의 여러 사이트에 걸쳐 ID와 PW를 동일하게 사용한다는 점을 악용하여, 다크웹 등 음성화된 사이트에 유통되는 계정정보를 불법 취득하고 계정 해킹을 위해 무작위 대입하는 공격입니다. 한 곳에서 얻은 계정 정보를 가지고 이곳저곳에 로그인해보는 방식이죠.
3. 유출된 계정정보는 어디에서 수집한 것인가요?
다크웹, 딥웹* 등을 포함하여 온라인 상에 유출되었다고 인지 및 공개된 정보를 토대로 적법하게 수집하고 있습니다.
특히, 다크웹 등에서 불법 유통된 국내 계정정보와 구글의 패스워드 안전성 진단 서비스를 활용하여 서비스를 제공합니다.
본 서비스는 아이디와 패스워드를 평문으로 보관하지 않고, 안전성을 위하여 즉시 일방향 암호화(HASH)하여 단순 조회 정보 제공 목적으로만 활용하고 있습니다.
딥웹이란?
검색 및 정보 접근이 제한되는 웹으로, IP 주소나 URL을 알면 접속 가능하나, 로그인 등 접속 권한 부여가 필요합니다. (예: 기업의 인트라넷이나 해커포럼 등)
4. ‘털린 내 정보 찾기’ 서비스 조회를 위해 입력한 이메일 주소, 아이디(ID), 패스워드(PW)는 안전하게 처리될까?
본 서비스는 사용자가 입력하는 계정정보(ID, PW)가 유출 이력 여부를 조회 및 확인할 수 있도록 결과를 제공하고 있습니다.
사용자가 입력한 정보는 일방향 암호화(HASH) 및 조회 후에 즉시 파기되며, 본인 인증용 이메일 주소는 익일 0시까지 보관 및 파기합니다. 비교·대조하기 위한 데이터 역시 HASH로 안전하게 처리 및 보관하므로 안심하고 사용하실 수 있습니다.
5. 내 계정정보가 어디에서 유출되었다는 건가요?
다크웹 등 음성화 사이트에서 불법 유통되는 계정정보는 유출된 출처의 확인이 불가능한 경우가 대다수입니다.
특히 해커는 온라인 상에 불법 게시된 다양한 웹사이트에서 개인정보를 수집하거나, 금전 취득 목적으로 올바르지 않은 개인정보를 인위적으로 생성 및 불법 배포하는 경우 등을 통해 고도화된 해킹 기법과 결합으로 악용하고 있어 유출 경로를 특정하는 과정이 어렵습니다.
6. ‘털린 내 정보 찾기’ 서비스를 통해 ‘유출 이력 있음’ 결과를 확인했습니다. 어떠한 조치를 해야 하나요?
유출 이력이 존재하는 경우에는 즉시 패스워드를 변경하여 명의도용, 사기 거래, 보이스피싱 등의 2차 유출 피해를 방지할 수 있습니다.
공지사항에 게시된 ‘패스워드 선택 및 이용 안내서’를 참고하여 안전한 패스워드로 변경하실 것을 권장합니다.
명의도용이 의심되거나 아이디, 패스워드를 알지 못해 회원 탈퇴가 어려운 경우, 개인정보보호위원회에서 운영 중인 ‘e프라이버시 클린서비스(www.eprivacy.go.kr)’를 사용하시기 바랍니다. 이 서비스는 회원 탈퇴 처리 대행 서비스를 제공하므로, 장기간 미사용 및 미접속한 웹사이트에 대한 회원 탈퇴 등을 통해 개인정보를 안전하게 관리할 수 있습니다.
7. 털린 내 정보 찾기 서비스 이용 방법
이용 절차:
- 홈페이지 접속: 털린 내 정보 찾기 서비스 홈페이지에 접속합니다.
- 동의 및 인증: 이용약관 동의 및 본인 인증 절차를 진행합니다 (이메일 인증).
- 정보 입력: 유출 확인을 원하는 이메일 주소, 아이디, 비밀번호 등을 입력합니다.
- 검색 결과 확인: 입력한 정보가 유출되었는지 여부를 확인합니다.
- 후속 조치: 유출된 경우, 유출 경로 확인, 유출 사이트 차단, 비밀번호 변경 등 후속 조치를 안내합니다.
8. 개인정보 보호를 위한 추가적인 조치
- 강력한 비밀번호 설정: 숫자, 영문자, 특수문자를 조합하여 8자리 이상의 강력한 비밀번호를 설정하고, 동일한 비밀번호를 여러 계정에 사용하지 않도록 주의합니다.
- 보안 소프트웨어 설치 및 업데이트: 안티바이러스, 방화벽 등 보안 소프트웨어를 설치하고, 최신 버전으로 업데이트를 유지합니다.
- 피싱 주의: 의심스러운 메일, 문자, 링크는 클릭하지 않도록 주의하며, 개인정보를 요구하는 사이트는 신뢰할 수 있는지 확인 후 이용합니다.
- 공중 Wi-Fi 사용 시: 공중 Wi-Fi 사용 시에는 개인정보 보호가 취약할 수 있으므로, 중요한 개인정보 처리를 자제하고, 가능하다면 VPN을 사용하여 보안을 강화합니다.
- 개인정보 제공 제한: 필수적인 경우에만 개인정보를 제공하고, 불필요한 개인정보 수집에 동의하지 않도록 주의합니다.