지난 5월 이스트소프트가 발표한 개인정보 유출 사고는 이전에 발생한 사고를 통해 입수한 개인정보를 이용한 2차 피해로 추정되는 만큼 사용자 로그인 정보 보안을 강화할 수 있는 방법이 필요하다는 주장이 높아지고 있다.
이스트소프트는 공격자가 ‘부르트포스’ 방식으로 개인정보를 입수한 것으로 파악하고 있다. 이는 공격자가 다른 개인정보 유출 사고를 통해 입수한 개인정보를 알툴즈 사이트와 알패스에 무차별 대입해 정상 접속(로그인)을 시도하는 방식이다.
ID/PW는 이미 여러 차례의 유출사고로 인해 누구나 쉽게 입수할 수 있는 정보다. 그래서 웹서비스 제공 사업자들은 주기적으로 비밀번호를 바꾸고, 유추할 수 없는 문자·숫자 조합을 사용하며, 모든 사이트에 동일한 비밀번호를 사용하지 말 것을 권고하고 있다.
그러나 사용자에게만 개인정보 관리를 강화하도록 제어하는 것은 바람직하지 않다. 사용자들이 사용하는 많은 사이트의 비밀번호를 각각 다르게 하는 것은 기억하기 쉽지 않고, 로그인 시 마다 비밀번호 찾기 서비스를 이용해야 하므로 서비스 이용에 불편을 준다.
따라서 강력한 로그인 보안을 보장하는 이차 인증 수단이 필요하다. 일회용 비밀번호(OTP), 생체인증, 휴대폰 문자 인증, NFC 등이 대안이 되고 있으며, 사용자가 입력하는 비밀번호를 해시값으로 전환해 비밀번호가 유출됐다 해도 불법도용 할 수 없게 하는 서비스도 제안되고 있다.
한편 이스트소프트는 사이트의 로그인 보안 강화 조치를 단행하고 있는데, 로그인 보안 강화 조치는 알툴즈 웹사이트, 알툴바/스윙브라우저에 포함된 알패스 기능을 대상으로 진행됐으며, 프로그램Bot)을 통한 자동화된 로그인 시도를 막는 ‘캡챠(CAPTCHA)’를 적용했다.
더불어 알패스 사용자를 대상으로 자신의 알패스 계정에 등록된 외부 사이트를 확인하고 비밀번호를 변경을 할 수 있도록 ‘알패스 사이트 목록’ 내려받기 기능을 마련하는 등 사고 대응 조치를 취하고 있다고 밝혔다.
또한 주요 100여 개 사이트를 시작으로 방송통신위원회를 통해 침해된 알패스 사용자 계정에 등록돼 있는 각 사이트 사용자 ID를 공유하고 있다.
