최근 크리덴셜 스터핑 공격 증가에 따라 유출 여부 조회·조치 당부
"서비스 조회 가능 개인정보 종류 확대 등 개선 노력도 병행"


개인정보보호위원회와 한국인터넷진흥원(KISA)은 국민들이 ‘털린 내 정보 찾기’ 서비스를 통해 직접 자신의 계정정보(아이디·비밀번호) 유출 여부를 확인하고 변경하는 등의 자발적인 조치가 필요하다고 19일 밝혔다.

최근 국내기업·기관들을 대상으로 한 크리덴셜 스터핑 공격, 생성형 인공지능(AI)을 활용한 공격 등이 고도화하는 데 따른 당부다. 실제 웹사이트 한 곳에서 확보한 아이디와 비밀번호를 여러 다른 인터넷 서비스에서 무작위로 대입해 계정정보를 해킹하는 ‘크리덴셜 스터핑’ 공격 신고는 2022년 1건에서 지난해 18건으로 늘었다.

한번 유출된 계정정보는 다크웹 등 음성화 사이트에서 불법유통 되면서 명의도용, 보이스피싱 등 각종 범죄에 활용돼 2차 피해를 유발할 수 있다. 특히, 편의를 위해 여러 사이트에서 동일한 계정정보를 사용하는 경우가 많아, 하나의 계정정보가 유출될 경우 연쇄적인 피해 가능성이 크다.

‘털린 내 정보 찾기’ 서비스는 이용자가 평소 온라인 상에서 사용하는 아이디, 암호를 입력하면, 해당 정보가 다크웹 등 음성화 사이트에서 불법유통 됐는지 확인할 수 있는 서비스다. 유출이 확인된 경우, 이용자는 계정정보 변경 등의 조치를 통해 추가적인 피해 확산을 방지할 수 있다. 아이디·암호를 알지 못하는 경우, 개인정보포털의 ‘정보주체 권리행사(웹사이트 회원 탈퇴)’ 서비스를 이용해 사용하지 않는 웹사이트의 회원 탈퇴를 할 수 있다.

개인정보위는 KISA와 계정정보 유출로 인한 피해를 방지할 수 있도록 ‘털린 내 정보 찾기’ 서비스에서 조회 가능한 개인정보의 종류를 확대, 본인인증 방식을 다변화하는 등 서비스 이용 편의성 증진을 위해 지속노력해 나아갈 계획이다.

[서울=뉴시스]