임시 비밀번호와 생년월일 아닌 휴대폰 혹은 아이핀으로 본인확인 후 비밀번호 변경

[보안뉴스 원병철 기자] 서울시여성능력개발원이 본지가 보도한 ‘회원 계정 같은 비번으로 초기화해 공개 파장’ 기사에서 지적했던 비밀번호 교체작업에 대한 문제점을 인정하고, 즉각 해당절차를 보완 조치했다고 밝혔다.


서울시여성능력개발원에 따르면, 최근 랜섬웨어 등의 사이버공격에 개인정보 유출의 위험을 줄이고자 보안강화 작업의 일환으로 DB서버 이전 및 암호화 솔루션 변경작업을 진행했으며, 이 과정에서 비밀번호 암호화를 위해 초기화 이후 회원들의 비밀번호 변경을 유도했다.

하지만 본지가 지적했던 것처럼 동일한 비밀번호로 초기화한 뒤 이를 회원에게 일괄 고지하는 방식이 오히려 외부 보안에 취약할 수 있다는 점을 인지하고 8일 오후 3시경 즉시 해당절차를 보완 조치했다.

서울시여성능력개발원은 초기화 이후 최초 비밀번호를 변경하는 경우 처음 고지했던 임시 비밀번호 OOOO과 생년월일이 아닌, 휴대폰 또는 아이핀 인증을 통해 본인인증 절차를 거친 뒤 새로운 비밀번호를 설정할 수 있도록 했다고 안내했다.

실제로 서울시여성능력개발원 홈페이지에서 로그인을 시도하면, 지난번과 달리 생년월일과 임시 비밀번호로 본인인증을 하는 것이 아니라, 휴대폰 번호를 통한 인증과 아이핀 인증을 통해서만 새로운 비밀번호를 설정하도록 되어 있다.

서울시여성능력개발원은 향후에도 3개월 단위로 비밀번호 변경을 유도하고, 일정기간 이용이 없는 휴면회원에 대한 정보도 별도 관리하여 고지하는 등 이용자의 개인정보 보호에 만전을 기할 예정이라고 밝혔다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>