국내 웹사이트 1362개 계정 2346만건 해외서 불법유통
2020-12-08 17:37
개인정보위 "진위 확인 중…계정정보 유출 확인되면 공식 조사"
해외 웹사이트에서 국내 1362개 웹사이트의 계정정보 2346만건이 유통되고 있는 것으로 파악됐다. 개인정보보호위원회는 이와 관련된 피해 예방을 위해 웹사이트 계정정보 유출확인시스템을 구축해 내년부터 운영할 계획이다.
개인정보위는 8일 오후 정부서울청사 대회의실에서 과기정통부, 경찰청, 한국인터넷진흥원(KISA) 등 관계기관 및 주요 인터넷 기업들과 '개인정보 불법유통 대응 간담회'를 열고 웹사이트 계정정보 유출확인시스템 구축·운영방안을 논의했다.
개인정보위는 앞서 피해예방을 위해 국내 해당 웹사이트 관리자에 계정정보 유출여부 확인을 요청하고 과기정통부와 협력해 주요기업 최고정보보호책임자에게 사이버공격에 대비할 것을 당부했다. 현재 불법 DB에 포함된 계정정보 진위를 확인 중이다. 향후 웹사이트 사업자 자체점검 결과 계정정보 유출사실이 확인되면 개인정보위가 공식 조사를 진행한다.
개인정보위는 불법유통되는 개인정보가 보이스피싱·명의도용 등 각종 범죄에 악용되고 있고, 그에 따른 경제적 피해도 매년 증가하고 있다고 지적했다. 이에 국민들이 자신의 웹사이트 계정정보가 유출됐는지 여부를 직접 확인할 수 있는 웹사이트 계정정보 유출확인시스템을 구축·운영하기로 했다.
개인정보위는 이번에 확보한 불법 계정정보 DB와 구글이 인터넷을 통해 확보한 약 40억건의 계정정보 DB 등을 연계해 내년중 이 시스템을 구축하고 운영한다. 오는 2022년부터 국내 주요 인터넷기업 등과 협력해 웹사이트 계정정보 DB를 지속 확충한다. 해당 DB의 추가 게시·유통 여부를 지속 탐지·삭제하고 불법DB 상습 게시자 수사를 의뢰할 방침이다.
윤종인 개인정보보호위원장은 "개인정보 불법유통에 단호히 대응해 국민의 불안감 해소와 피해방지를 위해 적극 노력할 예정"이라며 "주기적인 비밀번호 변경과 2단계 인증 로그인 등 일상 속 개인정보 보호수칙 실천으로 소중한 개인정보를 안전하게 지킬 수 있도록 노력해달라"고 말했다.
이날 개인정보위는 주요 이메일서비스 기업에 해당 불법DB와 계정이 일치하는 이용자에 대한 추가 보호조치를 이번 주중 완료해 달라고도 요청했다. 특정 사이트 계정정보가 유출되면 이를 활용한 '크리덴셜스터핑' 공격으로 추가 개인정보 탈취 피해가 이어질 수 있기 때문이다.
크리덴셜스터핑은 해커가 확보한 특정 사이트 계정정보를 다른 사이트 로그인 정보로 대입해 개인정보를 탈취하는 수법이다. 네트워크 보안 기업 아카마이의 2020년 인터넷 현황 보고서에 따르면 최근 2년간 전세계에서 880억건의 크리덴셜스터핑 공격이 발생했다.
국내서 상당수 이용자들이 여러 웹사이트에서 동일 계정과 패스워드를 이용하고 있어 크리덴셜스터핑 공격에 취약한 실정이다. 올해 3분기 한국인터넷진흥원(KISA) 계정관리 보안실태 조사결과 응답자 26.5%는 업무 및 개인용 계정에 동일한 계정을 사용하고 18.9%는 이용 계정 패스워드를 동일하게 설정한다고 응답했다.
개인정보위는 8일 오후 정부서울청사 대회의실에서 과기정통부, 경찰청, 한국인터넷진흥원(KISA) 등 관계기관 및 주요 인터넷 기업들과 '개인정보 불법유통 대응 간담회'를 열고 웹사이트 계정정보 유출확인시스템 구축·운영방안을 논의했다.
개인정보위는 앞서 피해예방을 위해 국내 해당 웹사이트 관리자에 계정정보 유출여부 확인을 요청하고 과기정통부와 협력해 주요기업 최고정보보호책임자에게 사이버공격에 대비할 것을 당부했다. 현재 불법 DB에 포함된 계정정보 진위를 확인 중이다. 향후 웹사이트 사업자 자체점검 결과 계정정보 유출사실이 확인되면 개인정보위가 공식 조사를 진행한다.
개인정보위는 불법유통되는 개인정보가 보이스피싱·명의도용 등 각종 범죄에 악용되고 있고, 그에 따른 경제적 피해도 매년 증가하고 있다고 지적했다. 이에 국민들이 자신의 웹사이트 계정정보가 유출됐는지 여부를 직접 확인할 수 있는 웹사이트 계정정보 유출확인시스템을 구축·운영하기로 했다.
개인정보위는 이번에 확보한 불법 계정정보 DB와 구글이 인터넷을 통해 확보한 약 40억건의 계정정보 DB 등을 연계해 내년중 이 시스템을 구축하고 운영한다. 오는 2022년부터 국내 주요 인터넷기업 등과 협력해 웹사이트 계정정보 DB를 지속 확충한다. 해당 DB의 추가 게시·유통 여부를 지속 탐지·삭제하고 불법DB 상습 게시자 수사를 의뢰할 방침이다.
윤종인 개인정보보호위원회 위원장이 과기정통부, 경찰청, 한국인터넷진흥원 및 주요 인터넷기업과 함께 영상회의를 하고 있다. [사진=개인정보보호위원회 제공]
윤종인 개인정보보호위원장은 "개인정보 불법유통에 단호히 대응해 국민의 불안감 해소와 피해방지를 위해 적극 노력할 예정"이라며 "주기적인 비밀번호 변경과 2단계 인증 로그인 등 일상 속 개인정보 보호수칙 실천으로 소중한 개인정보를 안전하게 지킬 수 있도록 노력해달라"고 말했다.
이날 개인정보위는 주요 이메일서비스 기업에 해당 불법DB와 계정이 일치하는 이용자에 대한 추가 보호조치를 이번 주중 완료해 달라고도 요청했다. 특정 사이트 계정정보가 유출되면 이를 활용한 '크리덴셜스터핑' 공격으로 추가 개인정보 탈취 피해가 이어질 수 있기 때문이다.
크리덴셜스터핑은 해커가 확보한 특정 사이트 계정정보를 다른 사이트 로그인 정보로 대입해 개인정보를 탈취하는 수법이다. 네트워크 보안 기업 아카마이의 2020년 인터넷 현황 보고서에 따르면 최근 2년간 전세계에서 880억건의 크리덴셜스터핑 공격이 발생했다.
국내서 상당수 이용자들이 여러 웹사이트에서 동일 계정과 패스워드를 이용하고 있어 크리덴셜스터핑 공격에 취약한 실정이다. 올해 3분기 한국인터넷진흥원(KISA) 계정관리 보안실태 조사결과 응답자 26.5%는 업무 및 개인용 계정에 동일한 계정을 사용하고 18.9%는 이용 계정 패스워드를 동일하게 설정한다고 응답했다.