‘자동 로그인’ 사용자 중 이중 인증 설정 10% 미만
비밀번호 유출시 줄줄이 다른 사이트 계정 해킹 우려
개인정보위, 크롬·엣지·파이어폭스 등에 “서비스 개선해 달라”


PC, 스마트폰 등 여러 기기에서 ‘자동 로그인’을 할 때 이중 인증(2FA, Two-Factor Authentication)을 설정한 비율이 10% 미만인 것으로 나타났다.

자동 로그인 기능은 한 번 로그인하면 이후 별도의 인증 과정 없이 아이디와 비밀번호가 자동 입력돼 편리하게 웹사이트를 이용할 수 있도록 지원한다. 하지만 이런 방식에서는 비밀번호가 유출될 경우 여러 계정이 한꺼번에 해킹 당할 위험이 있다. 그럼에도 불구하고 많은 이용자가 추가 인증 없이 로그인하고 있어 보안 우려가 커지고 있는 상황이다.

특히, 비밀번호와 아이디를 무작위로 대입해 로그인하는 ‘크리덴셜 스터핑(Credential Stuffing)’ 공격이나 피싱 등으로 계정을 탈취하는 사례가 늘어나면서, 이중 인증의 필요성이 더욱 강조되고 있다.

이에 따라 개인정보보호위원회와 보안 업계는 이용자들에게 이중 인증을 적극 활용할 것을 권고했다.


◆자동 로그인, 편리하지만 보안 취약점 존재

13일 개인정보위는구글(크롬), 마이크로소프트(엣지), 모질라(파이어폭스) 등 주요 인터넷 브라우저 제공사업자와 ‘자동 로그인’ 서비스를 개선하기로 했다고 밝혔다.

자동 로그인 서비스는 웹사이트에 한 번 로그인하면, 이후에는 자동으로 아이디와 비밀번호가 입력돼 별도 로그인 없이 웹사이트 이용할 수 있도록 지원하는 서비스를 말한다. 편의 기능이지만 한편으론 이용자 개인정보 탈취 우려도 있다는 지적이 제기돼, 개인정보위가 안전조치 현황 점검에 나섰다.

개인정보위 점검 결과 모든 브라우저가 PC 등에 계정정보를 암호화해 저장하지만, 암호화 조치가 해제될 문제점이 있는 것으로 밝혀졌다. 이 경우 악성코드 등으로 PC가 해킹되면 저장된 계정정보 탈취로 이어질 수 있다.

아울러 현재 주요 브라우저들은 서버에 계정 정보를 저장하고 PC와 스마트폰 등 다양한 기기에서 자동 로그인 기능을 지원하고 있다. 그러나 대부분의 이용자가 이중 인증 없이 아이디와 비밀번호만으로 로그인하는 것으로 확인됐다. 개인정보위는 전체 이용자 중 추가 인증을 설정한 비율이 10% 미만으로 추정했다.


◆이중 인증(2FA), 계정 보안 강화 핵심 요소…“무작위 대입 공격 예방할 수 있어”

이중 인증은 계정 보안을 강화하기 위해 ‘비밀번호+휴대폰으로 받은 인증번호 입력’ 등 두 가지 서로 다른 인증을 거치는 방식을 말한다.

기본적으로 온라인 서비스에 로그인할 때는 비밀번호 하나만 입력하지만, 만약 이 비밀번호가 유출된다면 해커가 계정을 쉽게 탈취할 수 있다. 하지만 이중 인증을 설정하면 비밀번호 외에도 추가 인증을 요구하기 때문에 비밀번호가 유출되더라도 계정을 보호할 수 있다.

현재 이중 인중에 활용되는 추가인증 수단으로는 문자로 인증받기, 일회용 비밀번호(OTP) 앱 사용, 지문이나 얼굴인식, 보안키 사용 등이 있다.

보안 전문가들은 이중 인증을 활성화하는 것만으로도 계정 유출을 크게 줄일 수 있다고 강조한다. 특히 피싱 공격, 크리덴셜 스터핑, 자동화 공격 등으로부터 계정을 보호하는 데 효과적이다.

개인정보위는 “개인정보 유출로 인한 피해 예방을 위해서는 계정 보안기능을 적극 활용할 필요가 있다”고 강조했다. 아울러 “이를 위해 로그인 시 OTP 등 추가인증 수단을 적극 활용해 달라”고 당부했다.

[서울=뉴시스]