[보안뉴스 오병민] 최근 대규모 개인정보 유출사고로 인한 계정 도용이 늘고 있는 가운데 이메일 비밀번호 찾기 기능에서 실명확인 기능이 강화돼야 한다는 의견이 나오고 있다. 유출된 개인정보를 이용하면 이메일 비밀번호 찾기 기능을 이용해 임시 비밀번호를 찾는 것이 가능하기 때문.

대부분의 인터넷 서비스 업체는 비밀번호를 분실했을 경우 비밀번호를 찾는 방법으로 이메일 비밀번호 찾기를 활용하고 있다. 그러나 이 방법은 별다른 본인 인증절차가 없어 이메일 비밀번호 찾기를 이용해 비밀번호가 유출된 사례가 지속적으로 나타나고 있다.

피해자들의 공통점은 이메일 비밀번호 찾기 기능에 있어 포털 메일 주소를 활용하고 있었고, 여러 포털 사이트의 비밀번호를 동일하게 이용하고 있었던 것. 이 경우 공격자가 이름과 주민등록번호, 그리고 하나의 포털 계정 비밀번호만 알고 있어도 비밀번호 찾기가 가능하다.

예를 들어 공격자가 A사이트의 비밀번호을 파악하기 위해 이메일로 임시 비밀번호를 신청하면, B토털 메일로 임시 비밀번호가 오는데 이름과 주민등록번호를 이용하면 ‘아이디@포털주소’인 B포털의 이메일 주소를 찾을 수 있기 때문에 B포털의 비밀번호만 알고 있으면 임시 비밀번호 발급이 가능하다.

결국 이름과 주민등록번호, 그리고 하나의 포털 사이트 비밀번호만 알고 있으면 포털 사이트를 비롯해 대부분의 인터넷 서비스의 계정 도용이 가능한 셈이다.

전문가들은 이 같은 허점은 사용자들이 모든 인터넷서비스에서 동일한 비밀번호를 사용하는 경향이 가장 큰 문제라고 지적한다.

최상명 하우리 팀장은 “한번 개인정보가 유출된 상황에서는 아무리 새로운 비밀번호로 바꾼다고 해도 모든 인터넷 계정의 비밀번호가 같다면 이메일 비밀번호 찾기를 통해 또다시 계정정보가 유출될 가능성이 높다”면서 “따라서 모든 인터넷사이트의 비밀번호를 다르게 하는 방법이 좋다”고 조언했다.

인터넷서비스의 이메일 비밀번호 찾기에서 본인 확인 기능이 없다는 것도 문제다.

박나룡 보안전략연구센터 소장은 “많은 인터넷서비스들이 비밀번호 분실에 대한 민원처리가 간단하다는 이유로 이메일 비밀번호 찾기 기능을 이용하고 있는데 본인 확인 기능이 결여된 비밀번호 찾기 기능은 허점을 노출할 수 있다”면서 “최근 잇달아 발생한 개인정보 유출사고로 인해 수많은 누리꾼들의 개인정보가 유출된 상황이기 때문에 연쇄적인 계정 도용을 막기위한 수단으로 이메일 비밀번호 찾기 서비스에서도 본인 확인 기능이 강화돼야 할 것”이라고 조언했다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>