내 정보는 안전한가? 이렇게 확인하자

최근 유행하는 ‘인포스틸러(InfoStealer)’는 단어 그대로 사용자의 여러 정보들을 노린다. 특히, 웹사이트나 프로그램의 ‘자동 로그인’ 기능을 사용하면 인포스틸러 감염 시, 여러 서비스 계정의 자격증명을 탈취당하게 된다. 일반 사용자들은 보통 동일한 계정과 패스워드로 다수의 서비스를 이용하고 있으므로, 피해를 입을 가능성이 더 높아진다.

인포스틸러에 효과적으로 대응하려면, 내 정보가 탈취되었는지 여부를 먼저 확인해야 한다. 이번 글에서는 계정정보의 탈취 이력을 확인할 수 있는 개인정보보호위원회의 ‘털린 내정보 찾기 서비스’를 소개한다.  

안랩 ASEC 분석팀은 지난 2021년 12월, 한 기업의 내부망 침해 사고 조사에서 기업망 접근에 사용된 VPN 계정이 재택 근무 중인 한 직원의 개인 PC에서 유출된 것임을 확인했다. 피해가 발생한 기업에서는 재택 근무 중, 사내망에 접근할 수 있도록 VPN 서비스를 제공하고 있었으며, 직원들은 지급된 노트북 또는 개인 PC로 VPN 연결 후 업무를 수행했다.  

피해 직원은 웹 브라우저에서 제공하는 비밀번호 관리 기능을 이용해 VPN 사이트에 대한 계정과 패스워드를 웹 브라우저에 저장해 사용했다. 그러던 중 계정 정보를 노리는 악성코드에 감염돼 다수의 사이트 계정과 패스워드가 유출되었다. 이 중에는 기업의 VPN 계정도 포함돼 있었고, 유출된 VPN 계정은 약 3개월 후 해당 기업 내부 망 해킹에 사용됐다.  

피해 직원 PC는 가정에서 온 가족이 사용했고, 안전하게 관리되고 있지 않았던 것으로 확인됐다. 다양한 악성코드에 오래전부터 감염돼 있었으며, 타사 백신이 설치돼 있었으나, 제대로 탐지 및 치료되지 않았다. 

감염된 악성코드 중에는 레드라인 스틸러(Redline Stealer) 계열 악성코드가 포함되어 있었다. 2020년 3월, 러시아 다크웹에 처음 등장한 레드라인 스틸러는 웹 브라우저에 저장된 계정 정보를 수집한다. 해당 레드라인 스틸러는 음정 보정 프로그램인 사운드시프터(SoundShifter)의 크랙 프로그램으로 위장하여 온라인상에 유포되어 있었다. 사용자는 소프트웨어 이름과 ‘crack’, ‘free’ 등을 검색어로 입력해 파일을 검색하고 다운로드했으며, 다운로드한 파일을 직접 실행해 악성코드에 감염됐다.

위 사례처럼, 인포스틸러 악성코드에 의해 발생한 정보 유출은 개인과 기업을 가리지 않고 심각한 피해를 야기할 수 있다. 또, 공격자들은 탈취한 정보를 활용해 2차, 3차 공격을 감행하기 때문에 피해는 더 확산될 가능성이 있다. 

정보 유출로 인한 피해를 최소화하기 위해 사용자들이 당장 실행에 옮겨 효과를 볼 수 있는 조치는 정보가 유출되었는지 여부를 확인하고 적절하게 대응하는 것이다.

개인정보보호위원회 ‘털린 내정보 찾기 서비스’ 

개인정보보호위원회는 2021년 11월 16일부터 ‘털린 내정보 찾기 서비스’를 시작했다. 해당 서비스는 평소 온라인 상에서 사용하는 계정정보(아이디, 패스워드)를 입력하면, 유출된 이력을 알려준다. 본 서비스는 ▲이메일 인증 ▲계정탈취 방지인증 등 2단계 이용자 인증을 적용해 안전성을 높였고, 이메일 계정 하나로 총 5개 계정정보를 조회할 수 있다 (PC/모바일 모두 이용 가능). 

털린 내정보 찾기 서비스는 개인정보위원회와 한국인터넷진흥원이 자체 확보한 다크웹 불법 유통 국내 계정정보 2천 3백만여건과 구글(Google)의 패스워드 진단 서비스 40억여건 등을 활용하여 유출여부를 확인할 수 있도록 구성했다.   

사용자가 조회를 통해 유출 이력을 확인한 경우에는 우선, 서비스 내 ‘안전한 패스워드 선택 및 이용 안내’ 메뉴에 따라 비밀번호를 변경한다. 또, 유출된 계정의 웹사이트에서 ‘휴대전화 인증코드 적용’ 등 2차 인증 서비스를 제공하는 경우, 이를 적용하여 추가 피해를 예방한다. 더 이상 사용하지 않는 웹사이트는 회원탈퇴를 위해 ‘e프라이버시 클린서비스(https://www.eprivacy.go.kr)’를 이용하여 삭제 처리하는 것도 가능하다. 

실제 서비스 이용 및 자세한 정보는 ‘털린 내정보 찾기 서비스’ 홈페이지에서 확인할 수 있다.

▶털린 내정보 찾기 서비스 바로가기

대응도 중요, 하지만 가장 효과적인 것은 ‘예방’ 

우리는 감기에 걸리면, 병을 낫게 하고 아픔을 최소화하기 위해 다양한 방법을 활용한다. 병원을 찾아 진료를 받은 뒤 해열제 혹은 항생제를 처방 받거나, 자체적으로 따뜻한 차를 마시고 충분한 휴식을 취한다. 이와 같은 조치를 취하면, 대부분의 경우 감기가 호전되는데 도움이 된다. 하지만, 근본적으로 가장 좋은 것은 감기에 걸리지 않고 건강을 유지하는 것이다. 이를 위해, 손을 자주 씻고, 수분을 충분히 보충하는 등 기본 건강 수칙을 지키며 생활한다. 코로나19 팬데믹 이후 마스크를 쓰고 생활하는 것도 같은 이유에서다.  

사이버보안, 특히 정보 유출과 관련된 피해는 위 감기 예시와 같은 맥락에서 이해해 볼 수 있다. 정보가 유출된 후에 후속 조치들을 통해 피해를 제어하는 것도 중요하지만, 최선은 기본 보안수칙을 잘 지켜 정보 탈취를 사전에 차단하는 것이다. 우선, 웹 사이트나 프로그램을 사용할 때 가급적 계정정보는 저장하지 않는 것이 좋다. 물론 편리한 기능이지만, 인포스틸러 악성코드에 감염되면 저장된 정보는 쉽게 유출되기 때문에 사용을 최소화해야 한다. 

또, 안랩 뿐만 아니라 다른 기관들에서도 항상 강조하는 ▲불법 소프트웨어 다운로드 및 사용 ▲신뢰할 수 없는 웹 사이트 접속 ▲의심스러운 메일 첨부파일 실행 및 URL 클릭 등을 ‘지양’해야 한다. 또한, 백신 등 보안 소프트웨어와 사용 중인 프로그램들이 최신 버전으로 업데이트 되어 있는지 항상 확인해야 한다.