"간편성과 편리성만 내세우면 보안은 그만큼 허술하며, 이로 인한 댓가는 매우 혹독할 것!"
웹 사이트에 로그인하는 경우 아이디(ID)와 비밀 번호(PW)를 최초에 입력해 놓으면 차후 이를 다시 입력하지 않아도 곧바로 로그인이 되도록 한 것이다.
이 방식은 자주 방문하는 사이트를 이용할 때는 편리하지만, 최초 접속자와 다음 접속자가 동일하지 않을 경우 주민 등록 번호 등 개인 정보가 누출될 수도 있어 보안에 취약한 단점이 있다.
특히, 편리하다는 이유로 아이디·비밀번호 자동 저장기능을 자주 사용하는 이용자들은 더욱 주의가 요망된다. 해당 기능 사용자가 ‘인포스틸러’에 감염되면, 웹 브라우저에 저장된 아이디·비밀번호 등 로그인 정보가 탈취될 수 있다.
해커는 아이디·비밀번호 등 개인정보 탈취를 위해, 악의적인 ‘정보 탈취형’ 악성코드인 ‘인포스틸러’(Infostealer)를 활용한 것으로 나타났다. 각종 불특정 콘텐츠·파일이 오가는 웹하드 등 P2P 사이트나 블로그에 ‘인포스틸러’를 은닉한 ‘불법 소프트웨어’를 유통하는 방식이다.
온라인 쇼핑몰에서 백여 명이 구매한 4천만 원 상당의 '상품권'이 사라지고, 게임이 출시되자마자 구매했던 '게임머니'가 사라지는 사고가 발생했다.
아이디와 비밀번호 등 인터넷 계정 정보를 탈취하는 일명 '크리덴셜 스터핑' 해킹의 피해 사례들로 피해자들은 대개 계정 정보를 웹브라우저에 저장하고 '자동 로그인'하는 이용자들이다.
한 해커가 계정 정보들을 빼내 '다크웹' 등에 올리면 다른 해커들이 해당 정보를 가져가 범죄에 이용하기 때문에 피해는 순식간에 커진다.
공공기관 계정 정보도 상당수 발견됐다. 'go.kr' 또는 'korea.kr'의 이메일 계정을 분류해봤더니 만여 개나 되는 것으로 파악 되었다.
특히 교육기관 계정이 많았는데 경기도 교육청 관련 계정이 가장 많았다.
전문가들은 인터넷 개인 정보는 한번 유출되면 돌이킬 수 없는 피해가 발생하기 때문에 될 수 있으면 웹브라우저에 계정 정보를 저장하지 말고, 비밀번호 만으로는 결코 안전하지 않으며 매번 사용할 때마다 비밀번호를 대체 또는 2차 인증(추가 인증)을 적용해서 피해를 예방하는 최상의 방법이라고 강조했다.
만약, 웹브라우저에 계정 정보를 저장 했더러도 2차 인증(추가 인증)이 적용되어 있으면 2차 인증(추가 인증) 때문에 자동 로그인에 실패하게 된다.
웹 애플리키에션 로그인 시 비밀번호 만으로는 결코 안전하지 않으며 매번 변하거나 한번 사용하고 버리는 일회성/휘발성 같은 동적인 보안 솔루션인 BaroPAM의 일회용 인증키로 대체 했을 때 이점은 다음과 같다.
무엇보다도 2차 인증(추가 인증)의 인증키는 본인이 소유하고 있는 인증키 생성매체를 사용해서 본인이 직접 일회용 인증키를 생성하여 본인이 직접 입력해야 그나마 정보보안 사고를 예방할 수 있는 최선책이다.