[보안뉴스 김경애] 남의 아이디와 비밀번호를 탈취해 웹사이트에서 부정 로그인으로 무단결제를 하거나 정보유출 피해를 입히는 계정도용 사례가 심심치 않게 발생하고 있다.

본인확인을 위한 수단으로 활용되는 개인의 계정정보는 회원가입을 통해 계정을 발급받아 해당 업체에서 제공하는 서비스를 편리하게 이용할 수 있다. 이를테면 포털사에 계정을 만들어 이메일을 확인하거나 게임서비스를 이용할 때도 계정을 발급받는다. 남들과 소통하는 SNS 역시 계정발급을 통해 가능하다.

그러다보니 이를 노린 계정탈취나 계정도용 사건 역시 끊이지 않고 발생하고 있다.로그인 시스템을 주로 활용하는 게임사를 비롯해 포털, 페이스북과 트위터, 카카오톡 등과 같이 SNS, 쇼핑몰 등에서 주로 발생한다.

이에 본지는 7월 정보보호의 달을 맞아 정보보호에 있어 이용자가 꼭 알아야 할 예방수칙에 대해 소개하고자 한다. 그 첫 번째 시간으로 개정도용 예방수칙에 대해 소개하고자 한다.

계정도용 사건사고

먼저 계정도용 사건을 살펴보면 지난 6월 한 게임사에서 시스템 장애로 인해 일시적인 비정상 접속현상이 발생했다. 이로 인해 계정도용 피해사례의 글들이 인터넷에 올라오고, 실제 피해사례가 해당 게임사에 접수되는 등 한바탕 소동이 일었다.

이보다 앞선 지난 5월에는 한 게임사에서 이메일 계정 도용을 당할 수 있는 취약점이 발견된 바 있다. 이메일 인증을 거치지 않고 이메일을 도용할 수 있는 문제가 발생한 것이다. 해당 취약점은 거의 모든 브라우저에 탑재되어 있는 개발자 모드(F12)를 이용해 이메일을 검색하면 ID, 이메일, 날짜, 이메일 인증 URL이 어떠한 암호화도 되지 않은 채로 보여진 것으로 알려졌다.

이는 비단 게임사만 해당하지 않는다. 계정도용으로 무단결제 사고가 발생하기도 했다. 지난해 7월 한 소셜커머스 업체는 누군가 불법적으로 아이디와 비밀번호를 대량으로 구매해 부정로그인 한 사건이 발생하기도 했다.

또 다른 국내 소셜커머스 업체는 지난해 1월 21일 일부 고객의 포인트가 고객동의 없이 무단으로 모바일상품권 구매 결제에 사용된 바 있다.

지난해 6월에는 6,200만명 이상의 팬이 가입한 린킨파크 페이스북도 계정이 무단 도용됐다 복구된 적이 있었다.

지난해 3월에는 한 포털사에 로그인할 수 있는 악성프로그램을 개발하고, 계정을 도용한 일당이 경찰에 붙잡히기도 했다. 이는 악성프로그램인 ‘로그인 체크기’를 통해 아이디와 비밀번호를 탈취해 계정을 도용한 것으로 드러났다.

따라서 이용자들은 자신의 계정정보가 탈취되지 않도록 각별히 주의해야 하며, 사이버안전국이 제시한 계정도용 예방수칙을 준수하는 것이 바람직하다.

계정도용 예방수칙 8가지

첫째, 자신의 아이디와 비밀번호는 다른 사람에게 알려주지 않는다.

둘째, 인터넷 사이트에의 무분별한 회원가입은 자제한다.

셋째, 회원 가입 시 구체적인 개인정보를 요구할 경우 가입여부를 다시 한번 생각한다.

넷째, 인터넷 회원 가입 시 서비스 약관에 제3자에게 정보를 제공할 수 있다는 조항이 있는지 확인한다.

다섯째, 탈퇴가 어렵거나, 탈퇴 절차에 대한 설명이 없는 곳은 가입하지 않는다.

여섯째, 탈퇴 신청을 한 뒤 개인정보를 파기했는지 확인한다.

일곱째, 비밀번호를 주기적으로 변경하고 전화번호나 생일, 연속된 숫자 등을 사용하지 말아야 한다.

여덟째, 함께 사용하는 PC는 아이디, 비밀번호 등 개인정보 입력 시 자동완성 기능을 사용하지 않는다.

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>