대형 보안사고가 매일 발생하고 있다. 트위터와 익스페리언(Experian)에 이어 이번에는 페이팔이다. 페이팔은 사용자 3만5000명에 달하는 사용자에게 지난 12월 6~8일 사이 계정 유출을 공지했다. 이번에는 공격자가 계정을 뚫는 방식이 달랐다. 페이팔이 직접 해킹을 당하지는 않았지만, 크리덴셜 스터핑이란 공격 방식으로 당했다. 크리덴셜 스터핑은 페이팔 계정에 재사용하는 유출된 로그인 정보를 이용하는 방식을 말한다. ⓒ Getty images Bank
IT 매체 블리핑 컴퓨터에 따르면 해커는 이틀간 계정 소유자의 이름 전체, 생일, 우편번호, 사회보장번호, 개인 납세자 식별 번호에 접근했다. 거래 내역, 연결 신용 또는 직불 카드 정보, 페이팔 송장 데이터 또한 페이팔 계정으로 접근할 수 있다.
이런 정보는 유출되기엔 중대한 개인 정보이다. 블리핑 컴퓨터에 따르면, 페이팔은 이틀간 침입을 막고 피해자들의 비밀번호를 재설정하고 미승인 거래 시도는 없었다고 밝혔지만, 피해자들에게 에퀴팩스의 계정 모니터링을 2년간 무료로 제공할 계획이다.
이번 사태가 필연은 아니다. 계정 소유자가 기본적인 온라인 보안 관행을 따랐다면 페이팔은 해킹을 당하지도 않았을 것이며, 계정 훼손도 없었을 것이기 때문이다.
모든 계정의 비밀번호를 똑같이 사용한 것이 원인이다. 특히 극도로 민감한 개인정보나 은행 정보에도 같은 비밀번호를 사용한 것이다. 비밀번호 관리자가 해결 방안이 될 수 있다. 좋은 비밀번호 관리자를 사용하면 개인정보 관리도 편리하며, 무료로도 사용할 수 있다. 이중 인증 활성화 또한 이런 크리덴셜 스터핑 공격을 저지할 수 있다. 페이팔 보안 옵션은 계정 설정 메뉴 아래에 있다.
페이팔이 해킹을 당한 것은 아니지만, 그렇다고 완전히 책임이 없어지는 것은 아니다. 베리디움의 COO 베이버 아민은 PCWorld에 보낸 이메일을 통해 다음과 같이 지적했다.
“신뢰할 수 있는 공급업체로서 페이팔과 같은 업체는 더 높은 기준을 설정해야 한다. 공급업체는 크리덴셜 스터핑 공격으로 인한 수많은 로그인 실패와 같은 비정상적인 동작을 모니터링하고 식별하는 프로세스를 구현해야 한다. 현재 이런 프로세스를 수행할 수 있는 툴과 서비스가 있다. 페이팔처럼 공격을 파악하는 데 며칠이 걸려서는 안 된다. 이중 인증을 적극 사용하길 권장한다. 사용자 대면 시스템에서 암호를 적극적으로 제거해야 한다.”
마지막 부분은 다소 자사 편의주의로 읽힌다. 베리디움이 비밀번호 없는 인증에 강점이 있는 사이버보안 업체이기 때문이다. 그래도 이런 이야기는 페이팔에서 귀 담아 들을 만하다. 참고로 최근 애플, 구글, 마이크로소프트 같은 대형 IT 업체도 비밀번호를 없애는 추세이다.
그래도 패스워드 없는 세상이 오기 전까지는 이번 페이팔 사태를 반면교사 삼아 비밀번호를 잘 관리하고, 계정 보안 수준을 최고 수준으로 유지해야 한다. 보안 요소를 잘 정비하면 안전도 유지할 수 있음을 잊지 말아야 할 것이다.
editor@itworld.co.kr
Tags
페이팔
개인정보유출
해킹
추천기사
