> 뉴스 > 뉴스 > 보안
  • 트위터
  • 페이스북
  • 구플러스
  • 네이버밴드
  • 카카오스토리
     
이스트소프트, 개인정보 유출사고로 ‘ID/PW’ 보완 방법 모색
OTP·생체인증·비밀번호 변경 등 다양한 기술 제안…이스트소프트, 로그인 보안 강화 조치 마련
2017년 09월 11일 09:44:29 김선애 기자 iyamm@datanet.co.kr

지난 5월 이스트소프트가 발표한 개인정보 유출 사고는 이전에 발생한 사고를 통해 입수한 개인정보를 이용한 2차 피해로 추정되는 만큼 사용자 로그인 정보 보안을 강화할 수 있는 방법이 필요하다는 주장이 높아지고 있다.

이스트소프트는 공격자가 ‘부르트포스’ 방식으로 개인정보를 입수한 것으로 파악하고 있다. 이는 공격자가 다른 개인정보 유출 사고를 통해 입수한 개인정보를 알툴즈 사이트와 알패스에 무차별 대입해 정상 접속(로그인)을 시도하는 방식이다.

ID/PW는 이미 여러 차례의 유출사고로 인해 누구나 쉽게 입수할 수 있는 정보다. 그래서 웹서비스 제공 사업자들은 주기적으로 비밀번호를 바꾸고, 유추할 수 없는 문자·숫자 조합을 사용하며, 모든 사이트에 동일한 비밀번호를 사용하지 말 것을 권고하고 있다.

그러나 사용자에게만 개인정보 관리를 강화하도록 제어하는 것은 바람직하지 않다. 사용자들이 사용하는 많은 사이트의 비밀번호를 각각 다르게 하는 것은 기억하기 쉽지 않고, 로그인 시 마다 비밀번호 찾기 서비스를 이용해야 하므로 서비스 이용에 불편을 준다.

따라서 강력한 로그인 보안을 보장하는 이차 인증 수단이 필요하다. 일회용 비밀번호(OTP), 생체인증, 휴대폰 문자 인증, NFC 등이 대안이 되고 있으며, 사용자가 입력하는 비밀번호를 해시값으로 전환해 비밀번호가 유출됐다 해도 불법도용 할 수 없게 하는 서비스도 제안되고 있다.

   

▲이스트소프트에서 실시간 공지되는 대응 진행 상황 안내문(자료제공: 이스트소프트)

한편 이스트소프트는 사이트의 로그인 보안 강화 조치를 단행하고 있는데, 로그인 보안 강화 조치는 알툴즈 웹사이트, 알툴바/스윙브라우저에 포함된 알패스 기능을 대상으로 진행됐으며, 프로그램Bot)을 통한 자동화된 로그인 시도를 막는 ‘캡챠(CAPTCHA)’를 적용했다.

더불어 알패스 사용자를 대상으로 자신의 알패스 계정에 등록된 외부 사이트를 확인하고 비밀번호를 변경을 할 수 있도록 ‘알패스 사이트 목록’ 내려받기 기능을 마련하는 등 사고 대응 조치를 취하고 있다고 밝혔다.

또한 주요 100여 개 사이트를 시작으로 방송통신위원회를 통해 침해된 알패스 사용자 계정에 등록돼 있는 각 사이트 사용자 ID를 공유하고 있다.

김선애 기자의 다른기사 보기  
ⓒ 데이터넷(http://www.datanet.co.kr) 무단전재 및 재배포금지 | 저작권문의  

     

인기기사

  이스트소프트, 개인정보 유출, ID/PW, 로그인
가장 많이 본 기사
전체기사의견(0)  
 
   * 200자까지 쓰실 수 있습니다. (현재 0 byte/최대 400byte)
   * 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
전체기사의견(0)
사명: (주)화산미디어 | 주소: 서울시 강남구 강남대로 124길 26 유성빌딩 2층 | 전화: 070-8282-6180 | 팩스: 02-3446-6170
등록번호: 서울아03408 | 등록년월일: 2014년 11월 4일 | 발행년월일: 2003년 12월 17일 | 사업자등록번호: 211-88-24920
발행인/편집인: 정용달 | 통신판매업신고: 서울강남-01549호 | 개인정보관리 및 청소년보호 책임자: 박하석
Copyright 2010 데이터넷. All rights reserved. mail to webmaster@datanet.co.kr