국내 1362개 웹사이트 계정정보 2346만여건 해외 유출

국내 1362개 웹사이트에서 이메일 주소, 패스워드 등 계정정보 2346만여건이 해외 유출된 사실이 확인됐다.

개인정보보호위원회는 과기정통부와 함께 불법 개인정보 DB를 분석해 이 같은 결과가 나왔다고 밝혔다. 불법 DB는 해킹 등으로 유출된 개인정보를 공유하는 해외 웹사이트에서 확보했으며, 대부분 중소 규모의 민간 및 공공사이트에서 유출된 계정정보가 담겼다.


개인정보위는 해당 불법 DB에 포함된 계정정보의 진위를 확인하고 있다. 피해예방을 위해 해당 웹사이트 관리자에 계정정보 유출 여부에 대한 확인을 요청하는 한편, 과기정통부와 협력해 주요기업 최고정보보호책임자에 사이버공격에 대한 대비를 공지하는 등 필요한 안전조치를 지난달 23일 완료했다.

앞으로 웹사이트 사업자의 자체점검 결과 계정정보 유출사실이 확인된 경우, 개인정보위의 공식적인 조사가 진행될 예정이다. 또한, 주요 이메일 서비스 제공사에 해당 불법 DB와 계정이 일치하는 이용자에 대한 추가 보호조치를 이주 내로 완료할 것을 요청했다.

해마다 늘어나는 인증정보 도용 피해

여전히 많은 이용자가 여러 웹사이트에서 동일 아이디와 비밀번호를 이용하는 행태를 보인다. 한국인터넷진흥원(KISA)의 3분기 ‘계정관리 보안실태’ 조사에 따르면 응답자의 26.5%가 업무·개인계정에 동일 아이디를 사용하고, 18.9%가 이용 계정의 비밀번호를 동일하게 설정하는 것으로 드러났다.

특정 사이트의 계정정보가 유출될 경우 이를 악용한 크리덴셜 스터핑(credential stuffing)을 통해 추가적인 개인정보 탈취로 이어질 수 있다. 크리덴셜 스터핑은 도용한 인증정보를 타 사이트에 무작위 대입해 개인정보를 탈취하는 수법이다. CDN(콘텐츠전송망) 전문기업 아카마이에 따르면 최근 2년간 전세계에서 총 880억건의 크리덴셜 스터핑 공격이 발생했다.


이를 통해 불법유통되는 개인정보는 보이스피싱·명의도용 등 각종 범죄에 악용되고 있고, 그에 따른 경제적 피해도 매년 증가하고 있다. 보이스피싱 피해 규모는 해마다 늘어나 지난 한 해에 6398억원을 기록, 2006년 이후 누적 피해액은 2조3937억원에 달한다.

개인정보위, 개인정보 유출 여부 확인해주는 시스템 마련한다

개인정보위는 개인정보 불법유통으로 인한 국민 불안을 해소하고 피해를 예방하기 위해 대책 마련에 나선다. 국민들이 자신의 계정정보 유출 여부를 직접 확인할 수 있는 ‘웹사이트 계정정보 유출확인시스템’을 마련한다. 이번에 확보한 불법 계정정보 DB와 구글이 인터넷을 통해 확보한 약 40억건의 계정정보 DB 등을 연계해 내년 구축·운영한다. 2022년부터는 국내 주요 인터넷기업 등과 협력해 웹사이트 계정정보 DB를 지속 확충할 계획이다.


또한, 인터넷상에 해당 DB의 추가 게시·유통 여부를 지속 탐지·삭제하는 한편, 불법 DB를 상습 게시한 자에 대해서는 수사를 의뢰할 방침이다. 이를 위해 지난 8일 개인정보위는 윤종인 위원장 주재로 과기정통부, 경찰청, KISA 등 관계부처·기관 및 주요 인터넷기업과 영상회의를 가졌다. 이번에 확보한 불법 DB에 대한 이용자 보호조치 상황을 공유하고 ‘웹사이트 계정정보 유출확인시스템’ 구축·운영방안을 논의했다.

윤종인 개인정보보호위원장은 “개인정보보호의 통합감독기구로서 개인정보 불법유통에 단호히 대응해 국민의 불안감 해소와 피해방지를 위해 적극 노력할 예정”이라며 “주기적인 비밀번호 변경과 2단계 인증 로그인 등 일상 속 개인정보 보호수칙 실천으로 소중한 개인정보를 안전하게 지킬 수 있도록 노력해달라”고 말했다.