이메일 비밀번호 찾기 서비스, 본인확인 기능 없어 악용 우려
[보안뉴스 오병민] 최근 대규모 개인정보 유출사고로 인한 계정 도용이 늘고 있는 가운데 이메일 비밀번호 찾기 기능에서 실명확인 기능이 강화돼야 한다는 의견이 나오고 있다. 유출된 개인정보를 이용하면 이메일 비밀번호 찾기 기능을 이용해 임시 비밀번호를 찾는 것이 가능하기 때문.

대부분의 인터넷 서비스 업체는 비밀번호를 분실했을 경우 비밀번호를 찾는 방법으로 이메일 비밀번호 찾기를 활용하고 있다. 그러나 이 방법은 별다른 본인 인증절차가 없어 이메일 비밀번호 찾기를 이용해 비밀번호가 유출된 사례가 지속적으로 나타나고 있다.
 

 ▲대부분 사이트들이 이름과 아이디, 주민등록번호만 있으면 이메일 비밀번호 찾기가 가능하다. 이메일 역시 대부분 포털사이트의 아이디와 동일한 경우가 많아 공격자들이 유추하기 쉬운 상황. ⓒ보안뉴스

피해자들의 공통점은 이메일 비밀번호 찾기 기능에 있어 포털 메일 주소를 활용하고 있었고, 여러 포털 사이트의 비밀번호를 동일하게 이용하고 있었던 것. 이 경우 공격자가 이름과 주민등록번호, 그리고 하나의 포털 계정 비밀번호만 알고 있어도 비밀번호 찾기가 가능하다.

예를 들어 공격자가 A사이트의 비밀번호을 파악하기 위해 이메일로 임시 비밀번호를 신청하면, B토털 메일로 임시 비밀번호가 오는데 이름과 주민등록번호를 이용하면 ‘아이디@포털주소’인 B포털의 이메일 주소를 찾을 수 있기 때문에 B포털의 비밀번호만 알고 있으면 임시 비밀번호 발급이 가능하다.

결국 이름과 주민등록번호, 그리고 하나의 포털 사이트 비밀번호만 알고 있으면 포털 사이트를 비롯해 대부분의 인터넷 서비스의 계정 도용이 가능한 셈이다.

전문가들은 이 같은 허점은 사용자들이 모든 인터넷서비스에서 동일한 비밀번호를 사용하는 경향이 가장 큰 문제라고 지적한다.

최상명 하우리 팀장은 “한번 개인정보가 유출된 상황에서는 아무리 새로운 비밀번호로 바꾼다고 해도 모든 인터넷 계정의 비밀번호가 같다면 이메일 비밀번호 찾기를 통해 또다시 계정정보가 유출될 가능성이 높다”면서 “따라서 모든 인터넷사이트의 비밀번호를 다르게 하는 방법이 좋다”고 조언했다.
 
인터넷서비스의 이메일 비밀번호 찾기에서 본인 확인 기능이 없다는 것도 문제다.

박나룡 보안전략연구센터 소장은 “많은 인터넷서비스들이 비밀번호 분실에 대한 민원처리가 간단하다는 이유로 이메일 비밀번호 찾기 기능을 이용하고 있는데 본인 확인 기능이 결여된 비밀번호 찾기 기능은 허점을 노출할 수 있다”면서 “최근 잇달아 발생한 개인정보 유출사고로 인해 수많은 누리꾼들의 개인정보가 유출된 상황이기 때문에 연쇄적인 계정 도용을 막기위한 수단으로 이메일 비밀번호 찾기 서비스에서도 본인 확인 기능이 강화돼야 할 것”이라고 조언했다.


기억하기 쉬운 패스워드 설정방법 - 특정명칭을 선택하여 예측이 어렵도록 가공하여 패스워드 설정 - 특정명칭의 홀·짝수 번째의 문자를 구분하는 등의 가공방법을 통해 설정 - 국내 사용자는 한글 자판을 기준으로 특정명칭을 선택하고 가공하여 설정 ※ 예) ‘한국정보보호진흥원’의 경우, 홀수 번째‘한정보진원’이‘gkswjdqhwlsdnjs’로, 짝수 번째‘국보호흥’이 ‘rnrqhghgmd’로 사용 - 노래 제목이나 명언, 속담, 가훈 등을 이용·가공하여 패스워드 설정 ※ 영문사용의 경우,‘ This May Be One Way To Remember’를‘TmB1w2R’이나‘Tmb1w>r~’로 활용 ※ 한글사용의 경우,‘ 백설공주와 일곱 난쟁이’를‘백설+7난장’로 구성하고‘QorTjf+7SksWkd’등으로 활용 예측이 어려운 문자구성의 패스워드 설정방법 - 영문자(대·소문자), 숫자, 특수문자들을 혼합한 구성으로 패스워드 설정 ※ 예)‘ 10H+20Min’,‘ I!Can&9it’등과 같은 구성 - 패스워드의 길이를 증가시키기 위해서는 알파벳 문자 앞뒤가 아닌 위치에 특수문자 및 숫자 등을 삽입하여 설정 ※ 예) ‘Security1’이 아니라‘Securi2t&&y’와 같은 형태로 패스워드의 길이를 늘림 - 알파벳 대·소문자를 구별할 수 있을 경우, 대·소문자를 혼합하여 설정 - 특정위치의 문자를 대문자로 변경하거나, 모음만을 대문자로 변경 ※ 예)‘ gkswjdqhwlsdnjs’→‘gKsWjDqHwLsDnJs’,‘ rnrqhghgmd’→‘rNrQhGhGmD’ 사이트별 상이한 패스워드 설정을 위한 방법 자신의 기본 패스워드 문자열을 설정하고 사이트별로 특정 규칙을 적용하여 패스워드 설정 ※ 예) 패스워드 문자열을‘486*+’로 설정하고, 사이트 이름의 짝수 번째 문자 추가를 규칙으로 yahoo.com는 ‘486*+ao.o’, google.co.kr는‘486*+ogec.r’등으로 활용


[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>