[개인정보보호위원회] ’24년 이용자 계정정보유출로 인한 피해방지 지원 추진(2024.01.19)

image_print

최근 국내기업·기관들을 대상으로 한 크리덴셜 스터핑 공격*, 생성형 인공지능을 활용한 공격 등 해킹 기법이 날로 고도화되고 있다. 이에 개인정보보호위원회(위원장 고학수, 이하 ‘개인정보위’)와 한국인터넷진흥원(이하 ‘KISA’)은이용자들이 ‘털린 내 정보 찾기’ 서비스를 통해 직접 자신의 계정정보 유출 여부를 확인하고, 본인의 계정정보를 변경하는 등의 자발적인 조치가 필요하다고 밝혔다.
* 크리덴셜 스터핑(Credential Stuffing)은 한번 유출된 계정정보(아이디, 암호)를 활용해 여러 사이트에 입력해보는 공격방식이며, 유출신고 접수 기준으로 ‘22년 1건에서 ’23년 18건으로 대폭 증가(연중 지속적 발생, 한번 발생 시 개인정보 유출 다수)

‘털린 내 정보 찾기’ 서비스는 이용자가 평소 온라인 상에서 사용하는 계정정보(아이디, 암호)를 입력하면, 해당 정보가 다크웹* 등 음성화 사이트에서 불법유통 되었는지 확인할 수 있는 서비스이다.**
* 다크웹은 특정 프로그램을 사용해야만 접속할 수 있는 웹으로, 일반적인 방법으로는 추적하기
어려워 주로 사이버 범죄에 악용됨
** 서비스 개시 후, 현재까지 총 140만여 명이 이용, 이 중 7.2%인 10만여 명이 본인의 계정정보 유출 사실 확인

한번 유출된 계정정보(ID, PW)는 다크웹 등 음성화 사이트에서 불법유통 되면서 명의도용, 보이스피싱 등 각종 범죄에 활용되어 2차 피해를 유발할 수 있다. 특히, 이용자들은 편의를 위해 여러 사이트에서 동일한 계정정보(ID, PW)를 사용하는 경우가 많아, 하나의 계정정보가 유출될 경우 연쇄적인피해 가능성이 크다.

계정정보 유출이 확인된 경우, 이용자는 계정정보 변경 등의 조치를 통해추가적인 피해 확산을 방지할 수 있다. 아이디‧암호를 알지 못하는 경우, 개인정보포털(https://privacy.go.kr)의 ‘정보주체 권리행사(웹사이트 회원 탈퇴)’ 서비스를 이용하여 사용하지 않는 웹사이트의 회원 탈퇴를 할 수 있다. ’24년 개인정보위와 KISA는 계정정보 유출로 인한 피해를 방지할 수 있도록 ‘털린 내 정보 찾기’ 서비스에서 조회 가능한 개인정보의 종류를 확대, 본인인증 방식을 다변화하는 등 서비스 이용 편의성 증진을 위해 지속노력해 나아갈 계획이다.

*source : 대한민국 정책브리핑 보도자료

image_print

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다