개인정보위, ‘털린 내정보 찾기 서비스’ 개편…이메일 조회 가능

개인정보보호위원회(이하 개인정보위)는 다크웹에서 유출된 계정정보를 악용하는 ‘크리덴셜 스터핑(credential stuffing)’ 공격이 늘어나자 ‘털린 내정보 찾기 서비스’를 확대 개편해 1월 29일부터 운영에 들어갔다고 30일 밝혔다.

‘털린 내정보 찾기 서비스’는 이용자가 평소 쓰는 아이디와 비밀번호 조합을 입력하면 다크웹 등에서 해당 계정정보가 불법 유통되는지 확인할 수 있게 만든 서비스다. 유출이 확인되면 이용자는 비밀번호 변경이나 2단계 인증 설정으로 계정 탈취 위험을 낮출 수 있다고 개인정보위는 설명했다.

이번 개편의 핵심은 조회 범위 확대다. 기존에는 아이디와 비밀번호 조합을 중심으로 확인했지만 이제 이메일 주소로도 조회할 수 있게 했다. 개인정보위는 이메일을 아이디로 쓰는 서비스가 늘어나는 흐름을 반영했다고 밝혔다.

개인정보위는 이용 편의도 손봤다. 입력된 계정정보를 교차 조회하는 방식을 도입했다. 하루 이용 횟수도 1회에서 3회로 늘렸다. 화면 구성과 기능도 개선했다고 밝혔다.

서비스 이용 절차는 ‘사용자 인증’ 이후 ‘유출 여부 조회’와 ‘유출 여부 확인’ 순으로 진행된다. 개인정보위는 서비스 누리집에서 이용 경험과 만족도 설문조사를 진행 중이며, 설문 결과를 이후 개선에 반영할 계획이라고 밝혔다.

개인정보위는 개인정보 유출 사고를 줄이려면 이용자의 예방 노력이 필요하다고 강조했다. 개인정보처리자에게는 이상행위 침입 탐지·차단 조치 강화도 요청했다. 로그인 시도 단계에서 캡챠(CAPTCHA) 적용을 늘리고, 개인정보가 포함된 화면에 접근할 때 추가 인증을 붙이는 방식도 도입했다. 캡챠는 문자나 그림 판별 같은 간단한 테스트로 사람이 직접 로그인하는지 확인하는 절차다.

글. 바이라인네트워크
<곽중희 기자> god8889@byline.network