다크웹 기반 계정정보 유출 증가에 대응해 개인정보보호위원회가 '털린 내정보 찾기 서비스'를 대폭 개편하여 국민의 계정 보안을 강화하고 있다.
크리덴셜 스터핑 급증과 계정 보안의 새로운 위협
최근 빠르게 증가하는 공격 유형 중 하나인 ‘크리덴셜 스터핑’은 공격자가 다크웹, 피싱, 정보 유출 사고 등을 통해 수집한 계정·비밀번호 조합을 다른 온라인 서비스에 자동 반복 입력해 로그인을 시도한다.
문제는 많은 사용자가 여러 서비스에서 동일한 비밀번호를 재사용하고 있다는 점이다.
한 번 털린 계정이 여러 플랫폼의 침해로 이어지고, 로그인 실패율·시도 횟수가 갑자기 증가하는 현상이 나타난다.
이러한 공격은 자동화된 툴을 통해 대량으로 수행되기 때문에 개인도, 기업도 선제적 대응이 점점 더 어려워지고 있다.
‘털린 내정보 찾기 서비스’란 무엇인가
‘털린 내정보 찾기 서비스’는 이용자가 현재 사용 중인 아이디와 비밀번호 조합을 입력하면 다크웹 등 불법 유통망에서 동일한 정보가 발견되는지를 확인해주는 국가 운영 보안 서비스다.
이 서비스의 핵심 목적은 계정정보의 실제 유출 여부를 조기에 확인해 추가 침해 피해를 방지하는 데 있다.
유출 사실이 확인되면 즉시 비밀번호 변경, 2단계 인증 활성화 등 후속 조치를 할 수 있어 개인 보안 수준을 크게 높일 수 있다. 기업 중심의 보안 플랫폼이 아닌 ‘국민 개인 보호’에 초점을 둔 점도 차별적이다.
확대 개편된 조회 기능: 이메일 계정까지 보호
이번 개편의 가장 중요한 변화는 조회 범위 확장이다. 기존에는 아이디·비밀번호 조합만 조회가 가능했으나, 개편 후에는 이메일 주소 기반 조회도 지원한다.
현재 여러 온라인 서비스가 이메일 자체를 로그인 아이디로 삼는 구조로 전환되면서 이메일 계정 노출 위험이 커지고 있다.
이에 따라 이용자의 실질적 계정 정보를 더 폭넓게 탐지할 수 있도록 기능이 업그레이드된 것이다.
더불어 서비스 누리집 인터페이스(UI) 개선으로 접근성과 사용 편의성이 높아져, 보안에 익숙하지 않은 사용자도 쉽게 활용할 수 있다.
유출 확인 후 필요한 보안 조치들
가장 먼저 해야 할 일은 해당 서비스뿐 아니라 같은 비밀번호를 사용하던 모든 사이트의 비밀번호 변경이다.
이후에는 계정 보호의 기본 전략으로 평가되는 2단계 인증(2FA), 생체 인증, 일회용 비밀번호(OTP) 등을 설정해야 한다.
또한 비밀번호 관리 도구를 사용해 각 서비스마다 서로 다른 강력한 비밀번호를 생성·관리하는 것도 권장된다.
이는 크리덴셜 스터핑의 성공률을 낮추는 가장 직접적이면서도 효율적인 방어책이다.
개인정보 보호 강화를 위한 개인과 기업의 역할
개인정보위는 서비스 개편과 함께 사용자 참여 설문조사를 진행하며 정책 개선에 반영할 계획이다. 이는 국가 차원에서 보안 체계를 지속적으로 발전시키기 위한 중요한 단계다.
개인은 '털린 내정보 찾기 서비스'를 활용해 정기적으로 계정 상태를 점검하고, 기업·기관은 캡챠(CAPTCHA) 적용, 이상행위 탐지, 추가 인증 절차 등 시스템 차원의 방어 체계를 강화해야 한다.
결국 개인정보 보호는 국가·기업·개인의 협력이 이루어질 때 비로소 완성되며, 이번 서비스 개편은 그 협력의 중심에 서 있다고 볼 수 있다.
