개인정보는 이곳저곳에서 해킹되어 매매되고 있습니다. 식별 가능한 한 사람의 개인정보가 다양하게 조합되면 핵폭탄급 위력을 발휘하게 됩니다. 최근 발생하는 일련의 사건들로 이미 접해 보신 소식들이라고 생각합니다. 계좌에 있는 돈을 탈취할 수도 있고, 휴대폰을 개통할 수도 있습니다. 조합할 수 있는 개인정보의 항목이 늘어나면 늘어날수록 한 사람을 파멸로 이끌수도 있습니다.
이미 공공재가 되어 버린 주민등록번호, 성명, 주소야 그렇다 칩시다. 그래도 이를 악용하는 사람들이 최대한 이용하기 어렵게 만들어야 합니다. 가장 좋은 것은 예방이겠습니다. 단 하나의 항목이라도 덜 탈취 되도록 정보보안 수칙을 잘 지키면서 생활하는 게 좋겠습니다.
다크웹에 유출된 내 개인정보 확인
먼저, 내가 사용하는 구글 계정에 로그인합니다. 그리고 나서 구글의 계정관리 페이지에 접속합니다. 주소는 https://account.google.com입니다.
구글 계정 관리 페이지에 접속하였습니다. 왼쪽 메뉴에서 '보안'탭을 선택합니다. 스마트폰에서도 동일합니다. 메뉴가 상단에 펼쳐질 뿐입니다.
제 개인정보는 총 11건이 탈취되어 다크웹에서 팔리고 있었습니다. 이 중에서 평문으로 저장된 5건의 비밀번호 정보도 있었습니다.
위의 화면에서 '결과 모두 보기'를 클릭합니다.
어떤 사이트에서 어떤 정보가 탈취되었는지 보여줍니다. 그리고 개인 정보가 DB/TEXT화 된 것도 보여줍니다. 해커들 사이에서 유명한 DB에도 제 개인정보가 포함되어 있었습니다.
그리고 중소사이트들의 보안관련 모럴해저드가 심각합니다. 왜 그런지 다음 화면을 봐 주세요.
제 정보가 해킹당한 곳 중 한 곳의 상세정보를 클릭해 보았습니다.
투자자들 사이에서 유명한 곳입니다. 규모도 꽤 있는 곳입니다. 해당 사이트에서 무려 제 이메일 주소와 비밀번호가 탈취되었습니다. 충격적인 부분이 한 두군데가 아닙니다. 1) 비밀번호 평문이 털렸습니다. 이게 해커들이 복호화 하기 쉬운 MD5 같은 함수로 salt도 없이 암호화를 한 것인지, 2) 비밀번호를 평문으로 저장한 것인지 모르겠습니다. 뭐가 어쨌든 둘다 너무 충격적입니다.
대기업들은 자신들이 해킹 당한 것을 세상에 알립니다. 그것이 자의적이든 타의적이든요. 그런데 저런 중소사이트는 사각지대입니다. 자신들이 해킹을 당한 사실조차 모르고 있을 가능성이 큽니다. 이것은 정말 심각한 문제가 아닐 수 없습니다. 요즘 시대에 아직도 비밀번호가 평문으로 털려서 돌아 다니다니.. 만일, 자신들이 해킹당한 사실을 알고 있었다 해도 문제입니다. 해당 사실을 5년 넘게 '쉬쉬'한 것이니까요.
혹시나 싶어 다른 구글 계정도 확인해 보았습니다. 총 13건의 개인정보가 다크웹에 유출되었습니다. 이메일 패스워드 평문이 털린 것은 9건이나 됩니다.
확인해 보니 대부분 국내 중소형 사이트가 해킹당한 것입니다. 대환장 파티네요!
이건 신기한 케이스입니다. 저는 Badoo에 가입한 적이 없습니다. 누군가에 의해서 제 신원이 도용되었습니다. 저는 앞 자리에 'mun'이 들어가는 비밀번호를 사용하지도 않습니다. 그렇다면 제 신원을 도용한 사람이 적어도 1) 저의 이메일 주소, 2) 제 생년월일, 3) 이름, 4) 전화번호, 5) 사는 곳과 같은 기초적인 정보를 들고 있었다는 소리입니다. 이메일 인증은 어떻게 받았는지 궁금하네요. 어쨌든, 이게 개인정보 유출의 위험성입니다. 제 명의를 도용해서 저렇게 여기저기 가입합니다. 그리고 무슨 짓을 했을지 모릅니다. 저게 무려 10년 전에 탈취된 정보였네요. 이글을 다 쓰고 나서 Badoo에 한번 접속해 볼 생각입니다. 제 계정으로 무슨 짓을 했는지 궁금해 집니다.
글을 읽으시는 여러분들도 지금 한번 해보세요. 다크웹에 떠도는 최신 정보나 모든 자료를 검출하지는 못하는 것으로 보입니다. 그래도 충분히 유용한 인사이트를 제공합니다. 어떤 개인 정보가 어떤 경로를 통해서 떠돌아 다니는지 대략적으로 확인할 수 있습니다.
대처방법
비밀번호 변경과 관리
다크웹에 노출된 비밀번호는 즉시 변경하셔야 합니다. 그리고 비밀번호는 주기적으로 변경하는 것이 안전합니다. 귀찮아도 내 개인정보와 내 삶을 지키는 방법입니다. 변경 주기는 짧으면 짧을수록 좋습니다. 각자가 관리 가능한 선에서 변경주기를 정하면 됩니다.
비밀번호를 만들때는 연상되거나 특정되기 어려운 문자열을 사용합니다. 그리고 알파벳 대소문자, 특수문자, 숫자를 골고루 섞어서 12자리 이상 지으면 안전합니다. 비밀번호가 얼마나 안전한지 측정해 주는 사이트도 있습니다. 그런 곳을 활용해도 좋습니다.
비밀번호 정보를 내 컴퓨터에 저장하지 마세요. 그리고 요즘 유행하는 클라우드 환경에도 저장하지 마세요. 비밀번호는 내 머릿속에만 있어야 안전합니다. 회사와 같은 곳에서는 포스트잇에 비밀번호를 기록해 두는 경우도 있습니다. 이것은 매우 잘못된 행동입니다. 작은 실수가 조직에 큰 위험을 초래할 수 있습니다.
끝으로 비밀번호를 모든 곳에서 똑같이 사용하는 것을 지양합니다. 현실적으로 어렵겠지만 지켜야 합니다. 내가 가입한 사이트가 한 군데서만 뚫려도 내 비밀번호는 모든 곳에서 뚫리게 되니까요.
2채널 인증 사용
2채널 인증도 완벽하게 안전하지는 않습니다. 그래도 2채널 인증을 꼭 사용해야 합니다. 2채널 인증체계는 우리 계정을 아주 단단하게 지켜 줄 수 있는 수단입니다. '아이디/암호' 체계만 사용하는 것 보다, 여기에 더해 휴대폰 인증이나 OTP 인증 등 2채널 인증 체계를 꼭 활용하세요.
서비스들 가입관련
ISMS 인증을 받지 않은 중소사이트 가입을 자제해야 합니다. 앱도 마찬가지 입니다. 그나마 구글 로그인, 카카오톡 로그인과 같이 외부 서비스를 통해서 가입하는 것은 안전할 수 있습니다. 혹시나 해킹을 당해도 카카오에 가입된 이메일 정보 정도가 탈취될 것입니다. 물론 이는 해당 서비스가 카카오나 구글의 개인정보를 어디까지 활용하는지에 따라 상황이 달라지기는 합니다. 소셜서비스를 통한 가입 시, 개인 정보를 어디까지 활용하는지 잘 확인하시면 됩니다.
뛰어난 해커라고 해도 네이버, 구글과 같은 서비스를 해킹하기는 어렵습니다. 하지만 중소 사이트를 해킹하는 것은 너무나 쉽습니다.
'크리덴셜 스터핑'이라는 기법이 있습니다. 해커가 우선 중소형 사이트를 광범위 하게 해킹합니다. 그곳에서 얻은 개인 정보를 통해서 다른 곳에서 무차별적으로 로그인 시도를 해보는 것입니다. 다른 사이트가 뚫리면 거기서 추가적인 개인정보를 또 얻습니다. 이런식으로 해커는 개인 정보를 축적해 나갑니다. 중소형 사이트 한 곳이 털리는 것만으로도 많은 위험들이 발생합니다.
앞서 말씀드린 비밀번호 관리 수칙을 잘 지키고, 2채널 인증 등을 활용하면 크리덴셜 스터핑 공격을 잘 방어할 수 있습니다. 어쨌든 비밀번호 평문이 탈취 당하는 것은 기분 나쁜일입니다. 그러므로 중소형 사이트나 앱에 대한 가입은 자제하는 것이 좋습니다. 꼭 가입해야 한다면 구글, 카카오, 네이버 등 소셜로그인 기능을 통해서 가입하시는 것을 권장합니다.
로그인 시 유의사항
피싱 사이트가 너무 많습니다. 네이버, 구글처럼 꾸몄지만 피싱 페이지인 경우가 있습니다. 항상 주소창을 제대로 확인하고 로그인 하는 습관을 가지면 좋습니다. naver.com, google.com과 같은 제대로 된 도메인인지 확인 후 조심조심 로그인 하세요.
비밀번호 등 민감한 정보는 아무데서나 함부로 입력하지 마세요. 실수로 입력했어도 이미 해당 정보는 해커의 손에 넘어간 뒤입니다. 애초에 민감한 정보는 인터넷에 입력 자체를 하지 않는 것이 좋습니다.
많은 사람들이 사용하는 와이파이에 붙어 있는 경우에도 로그인 활동은 지양하는 것이 좋습니다. 인구가 밀집한 지역에서는 해커가 미끼용 와이파이를 열어 두기도 합니다. 이때, 이 와이파이에 붙어서 했던 활동과 입력한 데이터는 모두 해커의 손에 들어가게 됩니다. 공개 와이파이를 이용할 때는 절대로 개인 정보를 입력하거나 개인적인 활동을 하지마세요.
또한, 내 개인기기가 아닌 기기에서 로그인을 하지 마세요. 컴퓨터를 잘 다루는 사람이라면 괜찮습니다. 그렇지 않다면 타인의 기기에서 로그인 활동을 하는 것은 매우 위험합니다.
지하철과 같이 사람이 많은 곳에서도 로그인 활동 등을 하지 마세요. 누군가가 뒤에서 지켜 보고 있을 수 있습니다. 어떤 사람은 다른 사람 등 뒤에서 로그인 하는 모습을 영상으로 촬영하다가 적발되기도 했습니다. 고전적인 수법이 가장 무서운 법입니다. 민감한 정보를 입력할 때는 항상 후방을 주의하세요.
다크웹 정보 악용금지
구글 다크웹 보고서를 보면 해커들이 종종 활용하는 DB나 TXT파일의 이름이 자주 나옵니다. 혹시라도 다크웹에 들어가서 이 파일을 다운로드 받지 마세요. 특히, 이 파일들을 통해서 다른 사람의 개인정보를 취득, 로그인 시도를 하는 것은 불법입니다. 한번의 호기심으로 형사처벌 당할 일을 만들지 마세요. 작은 실수로 인생에 오점을 남기지 않으시길 부탁드립니다.
2025년 10월 24일
송종식 드림
