"초하룻날 먹어 보면 열하룻날 또 간다"는 속담은 한 번 재미를 보면 자꾸 해보려고 함을 비유적으로 이르는 말이다. 일단 어려운 선을 넘는 데 성공해 이득을 보면 두 번째부터는 큰 각오나 기술이 필요하지 않게 되어 여러 번 시도해보기 마련이다.

이런 속내는 인터넷 상 개인정보를 노리는 누군가에게도 마찬가지라, 한 번 털린 계정은 두 번 털리기 쉽다.

해커가 공격에 사용됐던 IP를 재사용하는 경우는 5%에 그치지만, 계정 도용 피해자가 비밀번호를 바꾸지 않고 그대로 쓰는 경우는 그 두 배인 10% 수준이기 때문이다. 심지어 동일한 비밀번호로 변경해서 쓰는 경우도 있다.

대부분의 해커가 감시망에 걸리지 않기 위해 주의를 기울이는 반면, 많은 피해자가 무방비 상태로 자신의 소중한 개인정보를 내주고 있는 셈이다.

↑ 부정 로그인을 시도하는 IP의 재사용 비율

김형기 NHN 비즈니스플랫폼 과장은 "한 번 도용된 계정은 재도용되기 쉽다"며, "기존에 피해를 입은 IP와 계정에 대해 특별한 관리를 하는 것이 필요하다"고 조언했다.

특히, 해커가 도용 계정으로 부정 로그인에 성공해 추가 정보를 확인하거나 비밀번호를 바꿀 수 있을 만큼의 개인정보를 갖게 될 경우에는 피해자가 일정 기간 계정 사용을 못하는 경우가 발생할 수 있다. 이를 방치할 경우 타 사이트에 기재된 다른 정보도 훔쳐볼 수 있어 추가 피해도 발생한다.

개인정보 유출은 하루 이틀 문제가 아니다.

지난 4월, 해커가 소니 플레이스테이션네트워크 이용자 7700만 명의 개인정보를 유출한 사건이 있었다. 해커는 유출한 개인정보로 9만 3천 건이나 부정 로그인해 타인의 계정으로 네트워크에 접속했다고 한다.

또 다른 사례로 올 여름 포털 사이트 네이트가 해킹을 당해 수천만 명의 개인정보를 탈취당하고, 이때 빠져나간 개인정보들이 신용카드 발급과 같은 금전적 목적으로 악용되기도 했다는 사실이 밝혀졌다. 누군가가 자신의 명의로 금전적인 문제를 일으키기까지 하는 것이다.

↑ 김형기 NHN 비즈니스플랫폼 과장의 Core2011 강연, "부정 로그인은 추가 피해의 시발점"

이렇듯 개인정보 유출은 단지 스팸 메시지가 늘어날 뿐인 몇 년 전의 개인정보 유출과는 차원이 다른 문제로 번져가고 있다. 때문에 웹 서비스 기업이 가진 개인정보를 최소화하기 위해 아이핀, 이메일 인증 가입 방식이 권장되고 있는 실정이다.

또, 최근 인스턴트 채팅 어플리케이션 '카카오톡'이 이메일과 같은 개인정보를 수집해 '서비스 이용자들에게 수집 항목 및 목적을 명확히 고지하지 않았다'는 이유로 경고를 받는 등, 개인정보에 대한 정부의 관리감독도 엄격해지고 있다.

그래도 해킹의 공격과 방어 기술은 계속 발달하고 있어 웹 상에 안전지대란 없다. 만약 이용자의 이름과 주민등록번호, 이메일 주소, 비밀번호 등 개인정보가 해커의 손에 넘어갔다면 어떻게 해야 할까.

서비스 이용자는 피해 사실을 안 즉시 유출 범위를 확인하고 비밀번호를 변경해 추가 피해를 막아야 한다. 또, PC에 깔린 악성코드가 원인일 수 있으므로 검사 및 치료부터 한 뒤 비밀번호를 바꾸는 것이 좋다.

기업의 경우에는 공격 IP에 블랙리스트로 접근을 제어하고, 피해 계정의 정보 변경 이력을 모니터링하는 작업이 필요하다. 만에 하나를 대비해 추적 가능한 가상의 미끼 계정 정보를 풀어놓는 것도 방법이다.

또 보안 담당자는 자사 사이트의 가입 및 로그인 구조와 공격 현황을 면밀히 파악하고, 이 데이터를 분석할 수 있는 시스템을 구축해 수동 대응부터 자동화 단계까지 검토해야 한다.

[이현 기자 talysa@chosun.com] [gamechosun.co.kr]

◆ [순위] 사이퍼즈, 전작 ″던파″ 맹추격
◆ 서수길 위메이드 전 대표, 게임업계 컴백설 가시화
◆ 더나인코리아, 던전크래프트 앞세워 한국 시장 ″출사표″
◆ 한콘진, 게임포탈 ″게임앤게임″ 리뉴얼 및 이벤트 실시

※ 도전하세요. Web APP Programming 개발자 과정 교육생 모집

ⓒ기사의 저작권은 게임조선에 있습니다. 허락없이 무단으로 기사 내용 전제 및 다운로드 링크배포를 금지합니다.