| 메신저 해킹 후 비번 바꿨는데..."왜 또 해킹당했지?" | 2011.10.07 | ||||
‘이메일 비밀번호 찾기’ 서비스 악용
모든 포털사이트 메일 비밀번호 바꿔야 안심 포털사이트, 이메일 비밀번호 찾기 실명 확인 강화해야 # A씨는 얼마 전 메신저 피싱으로 피해를 입고 메신저의 비밀번호를 바꿨다. 그런데 며칠 후 메신저가 다시 해킹당해 피싱 피해를 또 겪게 됐다. A씨의 비밀번호는 새로운 비밀번호로 바뀌어있었다. # B씨는 어느 날 자신의 포털 메일계정으로 스팸메일이 대량으로 유포된 것을 확인하고 포털의 비밀번호를 바꿨다. 그런데 다시 포털 메일으로 스팸메일이 대량 발 송됐다. B씨는 “분명히 비밀번호를 바꿨는데...”하며 의아해했다.
보안전문가들은 패스워드를 교체한 후에도 계정 도용이 증가하고 있는 이유가 포털사이트들이 실명확인 없이 이메일 비밀번호 찾기 서비스를 제공하고 있다는데 문제를 제기했다. 현재 대부분의 포털사이트와 게임포털 사이트들은 ‘이메일 비밀번호 찾기’ 기능을 지원하고 있다. 이메일 비밀번호 찾기 기능은 사이트 가입시 입력받은 메일 계정으로 임시 비밀번호를 발급해주는 서비스로, 사용자가 비밀번호가 분실됐을 때도 서비스를 다시 이용할 수 있게 해주는 사용자 편의 서비스이다. 이 서비스는 단지 이용자의 이름과 아이디, 주민등록번호를 입력하면 등록된 이메일로 임시 비밀번호를 발급받을 수 있기 때문에, 받는 이메일이 포털 이메일이고 동일거나 유사한 비밀번호를 사용할 경우 공격자는 손쉽게 임시 비밀번호를 발급받을 수 있다. 따라서 최근 악성 공격자들은 이런 서비스 허점을 악용해 계정을 연달아 탈취하는 경향을 보이고 있어 사용자들의 주의가 필요해 보인다.
이 같은 일이 가능한 이유는, 사용자들이 여러 포털사이트에서 아이디나 비밀번호를 같은 것으로 사용하거나 유사한 패턴으로 이용하고 있고, 아울러 포털사이트 역시 실명 확인 없이 이메일 비밀번호 찾기 서비스를 제공하고 있기 때문.
방송통신위원회는 대규모 해킹의 영향으로 대다수의 이용자들의 개인정보가 유출 됐을 가능성이 높아, 이용자들이 가입한 모든 포털사이트의 비밀번호를 바꿔야 한다고 조언한다. 그러나 아직도 많은 사용자들은 개인정보가 유출된 특정 포털이나 사이트만 비밀번호를 교체해 이 같은 피해가 반복되고 있다. 더불어 대부분 포털사이트들이 본인 확인 절차 없이 이름과 주민등록번호만 있으면 이메일로 비밀번호 찾기가 가능하도록 하고 있어 개선이 필요하다는 의견도 제시되고 있다.
▲대부분 사이트들이 이름과 아이디, 주민등록번호만 있으면 이메일 비밀번호 찾기가 가능했다. 이메일 역시 대부분 포털사이트의 아이디와 동일한 경우가 많아 공격자들이 유추하기 쉬운 상황. ⓒ보안뉴스 실제로 보안뉴스가 7일 주요 대형 포털사이트와 게임사이트, 쇼핑몰 사이트 10곳을 대상으로 이메일 비밀번호 찾기 현황을 조사한 결과, 쇼핑몰 사이트를 제외한 대다수의 사이트들이 이름과 주민등록번호만 있으면 비밀번호 찾기가 가능했다. 박나룡 보안전략연구센터장은 “많은 이용자들이 개인정보가 유출된 사이트에 대해서만 비밀번호를 바꾸고 있는데, 이용하고 있는 모든 포털이 이메일 비밀번호 찾기와 같은 기능에 악용될 수 있기 때문에 이용하는 모든 포털과 메일서비스의 비밀번호를 바꿔야 한다”면서 “아울러 포털사이트들도 이메일 비밀번호 찾기 서비스의 실명확인을 강화해야하며 더 나아가서는 아이디와 패스워드에 의존하는 인증방식도 변화가 필요하다”고 강조했다. [오병민 기자(boan4@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
|||||
 |
