SKT·쿠팡 등 잇단 유출로 ‘ID/PW’ 무력화... 전 국민 정보 ‘공공재’ 전락
패스키·생체인증 등 ‘추가 자물쇠’ 필수... 불편해도 내 자산 지킬 유일한 길
[보안뉴스 조재호 기자] ‘개인정보는 공공재’라는 자조 섞인 농담이 현실이 됐다. 지난해 대한민국은 ‘정보유출의 해’로 기록될 전망이다. SKT를 시작으로 KT와 LG유플러스까지 통신 3사를 비롯해 롯데카드와 쿠팡까지 사실상 전 국민 개인정보가 유출됐다. 기존 ID/PW 조합이 무력화됐다는 전제가 과하지 않은 상황이다. 나보다 나를 더 잘 이해한 AI 피싱과 스미싱 같은 범죄 우려도 높다.
[자료: gettyimagesbank]
이에 대한 긴급 자물쇠로 보안 전문가들은 ‘2차 인증(2FA/MFA)’을 꼽는다. 지난해 국내 인증 체계 붕괴 실태를 살펴보고 2026년 대표적 2차 인증 수단으로 쓰이는 패스키와 생체 인식을 살펴보자.
지난해 대한민국 보안을 한마디로 압축하면 ‘총체적 난국’이다. 국가 기간망과 방대한 소비자 데이터를 보유한 대기업들이 무너졌다. 보안이 취약한 중소기업의 해킹 피해는 집계조차 힘든 상황이다.
가장 대표적인 정보 유출 사례로는 SKT·KT·LG유플러스 등 통신 3사의 유심(USIM) 및 고유식별번호(IMSI) 유출 사태가 있다. 해커들은 단순 개인정보를 넘어 모바일 네트워크라는 ‘신뢰 체계’를 노렸다. 단말기와 통신망을 연결하던 인증 구조가 무너진 것이다.
이어서 예스24와 롯데카드, 쿠팡의 정보 유출은 일상 서비스가 더 이상 안전지대가 아님을 보여줬다. 특히 쿠팡은 5개월간 유출 사실조차 인지하지 못해 자신의 정보가 언제 털렸는지조차 모른다는 공포감을 심어줬다.
이들 사고의 공통점은 ‘단일 인증’의 한계다. 대부분 침해 사고는 관리자 계정 탈취나 네트워크 침투로 시작됐다. ID와 PW에 의존하던 전통적 지식 기반 인증(Knowledge-based Authentication) 보안 시스템의 한계가 여실히 드러났다. 유출된 수억건의 ID/PW 정보는 해커들의 무차별 대입 공격(brute-force attacks)이나 자격 증명 스터핑(Credential Stuffing)의 핵심 재료로 작용한다. 인공지능(AI)의 발달로 이러한 공격 효율성은 한층 더 업그레이드됐다. 이를 악용한 AI 딥보이스 피싱과 스미싱에 대한 가능성도 높아졌다.
이러한 정보 유출 문제를 해결하기 위한 긴급 처방으로 ‘2차 인증’ 활성화가 있다. 패스키와 생체인증이 대표적이다. ID/PW의 핵심인 나 자신을 증명하는 비밀번호(PW)를 소유하고 있는 기기나 나 자신으로 대체할 수 있고, 사용자 편의성을 저해하지 않는 선에서 추가적인 인증을 진행할 수 있다.
패스키는 비밀번호를 대체한 암호화 키를 기기에 저장하는 방식을 말한다. 개인키 자체는 스마트폰이나 PC에 보관하고 서버에는 공개키만 전송해 서버가 털려도 유출된 ‘비밀번호’가 없는 구조다. 구글이나 애플 같은 글로벌 빅테크 기업이 도입할 만큼 기술적 신뢰도나 사용성 부분에서도 검증을 마쳤다.
생체인증은 지문이나 얼굴, 정맥 등 고유한 신체적 특징을 이용한 인증 방식이다. 생체 정보는 도용이나 복제가 힘들며 잊어버릴 염려도 없고 복제가 매우 어렵다. 최근 AI와 결합을 통해 단순히 본인을 확인하는 단계를 넘어, 보안성이나 편의성을 개선하는 방향으로 발전했다.
이러한 2차 인증과 더불어 고려해볼 수 있는 방안으로 ‘지속적 인증’(Continuous Authentication)이 있다. 로그인 한 번으로 끝나는 것이 아니라 사용자 행동 패턴이나 위치, 기기 상태 등을 실시간으로 분석해 본인 여부를 확인하는 기술이다. 평소와 다른 해외 접속이나, 대량 다운로드 등 이상 신호를 감지해 재인증을 요구한다.
2026년, 이미 내 정보가 공공재처럼 돌아다니는 상황에서 내 정보와 자산을 지키는 가장 쉬운 방법은 추가 자물쇠(2차 인증)를 채우는 것이다. 물론, 설정 자체는 귀찮다. 로그인할 때마다 스마트폰을 확인해 번호를 입력하거나 안면 인식을 해야 한다. 하지만 그 작은 불편함이 디지털 라이프를 지키는 최소한의 방화벽이다.
정부와 기업 차원에서 사용자 개입 없는 ‘인비저블 보안’(Invisible Security) 투자가 병행돼야겠지만, 당장 개인 사용자들이 활용 중인 서비스에 ‘2차 인증’을 설정하는 것이 자신을 지키는 가장 쉬운 길임을 잊지 않아야 한다.
[조재호 기자(sw@boannews.com)]
패스키·생체인증 등 ‘추가 자물쇠’ 필수... 불편해도 내 자산 지킬 유일한 길
[보안뉴스 조재호 기자] ‘개인정보는 공공재’라는 자조 섞인 농담이 현실이 됐다. 지난해 대한민국은 ‘정보유출의 해’로 기록될 전망이다. SKT를 시작으로 KT와 LG유플러스까지 통신 3사를 비롯해 롯데카드와 쿠팡까지 사실상 전 국민 개인정보가 유출됐다. 기존 ID/PW 조합이 무력화됐다는 전제가 과하지 않은 상황이다. 나보다 나를 더 잘 이해한 AI 피싱과 스미싱 같은 범죄 우려도 높다.
[자료: gettyimagesbank]
이에 대한 긴급 자물쇠로 보안 전문가들은 ‘2차 인증(2FA/MFA)’을 꼽는다. 지난해 국내 인증 체계 붕괴 실태를 살펴보고 2026년 대표적 2차 인증 수단으로 쓰이는 패스키와 생체 인식을 살펴보자.
지난해 대한민국 보안을 한마디로 압축하면 ‘총체적 난국’이다. 국가 기간망과 방대한 소비자 데이터를 보유한 대기업들이 무너졌다. 보안이 취약한 중소기업의 해킹 피해는 집계조차 힘든 상황이다.
가장 대표적인 정보 유출 사례로는 SKT·KT·LG유플러스 등 통신 3사의 유심(USIM) 및 고유식별번호(IMSI) 유출 사태가 있다. 해커들은 단순 개인정보를 넘어 모바일 네트워크라는 ‘신뢰 체계’를 노렸다. 단말기와 통신망을 연결하던 인증 구조가 무너진 것이다.
이어서 예스24와 롯데카드, 쿠팡의 정보 유출은 일상 서비스가 더 이상 안전지대가 아님을 보여줬다. 특히 쿠팡은 5개월간 유출 사실조차 인지하지 못해 자신의 정보가 언제 털렸는지조차 모른다는 공포감을 심어줬다.
이들 사고의 공통점은 ‘단일 인증’의 한계다. 대부분 침해 사고는 관리자 계정 탈취나 네트워크 침투로 시작됐다. ID와 PW에 의존하던 전통적 지식 기반 인증(Knowledge-based Authentication) 보안 시스템의 한계가 여실히 드러났다. 유출된 수억건의 ID/PW 정보는 해커들의 무차별 대입 공격(brute-force attacks)이나 자격 증명 스터핑(Credential Stuffing)의 핵심 재료로 작용한다. 인공지능(AI)의 발달로 이러한 공격 효율성은 한층 더 업그레이드됐다. 이를 악용한 AI 딥보이스 피싱과 스미싱에 대한 가능성도 높아졌다.
이러한 정보 유출 문제를 해결하기 위한 긴급 처방으로 ‘2차 인증’ 활성화가 있다. 패스키와 생체인증이 대표적이다. ID/PW의 핵심인 나 자신을 증명하는 비밀번호(PW)를 소유하고 있는 기기나 나 자신으로 대체할 수 있고, 사용자 편의성을 저해하지 않는 선에서 추가적인 인증을 진행할 수 있다.
패스키는 비밀번호를 대체한 암호화 키를 기기에 저장하는 방식을 말한다. 개인키 자체는 스마트폰이나 PC에 보관하고 서버에는 공개키만 전송해 서버가 털려도 유출된 ‘비밀번호’가 없는 구조다. 구글이나 애플 같은 글로벌 빅테크 기업이 도입할 만큼 기술적 신뢰도나 사용성 부분에서도 검증을 마쳤다.
생체인증은 지문이나 얼굴, 정맥 등 고유한 신체적 특징을 이용한 인증 방식이다. 생체 정보는 도용이나 복제가 힘들며 잊어버릴 염려도 없고 복제가 매우 어렵다. 최근 AI와 결합을 통해 단순히 본인을 확인하는 단계를 넘어, 보안성이나 편의성을 개선하는 방향으로 발전했다.
이러한 2차 인증과 더불어 고려해볼 수 있는 방안으로 ‘지속적 인증’(Continuous Authentication)이 있다. 로그인 한 번으로 끝나는 것이 아니라 사용자 행동 패턴이나 위치, 기기 상태 등을 실시간으로 분석해 본인 여부를 확인하는 기술이다. 평소와 다른 해외 접속이나, 대량 다운로드 등 이상 신호를 감지해 재인증을 요구한다.
2026년, 이미 내 정보가 공공재처럼 돌아다니는 상황에서 내 정보와 자산을 지키는 가장 쉬운 방법은 추가 자물쇠(2차 인증)를 채우는 것이다. 물론, 설정 자체는 귀찮다. 로그인할 때마다 스마트폰을 확인해 번호를 입력하거나 안면 인식을 해야 한다. 하지만 그 작은 불편함이 디지털 라이프를 지키는 최소한의 방화벽이다.
정부와 기업 차원에서 사용자 개입 없는 ‘인비저블 보안’(Invisible Security) 투자가 병행돼야겠지만, 당장 개인 사용자들이 활용 중인 서비스에 ‘2차 인증’을 설정하는 것이 자신을 지키는 가장 쉬운 길임을 잊지 않아야 한다.
[조재호 기자(sw@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg)
.jpg){kind=spacer}
.png)
.gif)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
