다크웹에서 유출된 아이디와 비밀번호를 이용해 계정을 무차별적으로 침입하는 이른바 ‘크리덴셜 스터핑’ 공격이 늘어나면서 정부가 개인 계정 정보 유출 여부를 확인할 수 있는 온라인 서비스를 확대 운영하기로 했다.

유출된 계정 정보가 여러 사이트에서 반복적으로 사용되는 경우 해킹 피해가 연쇄적으로 발생할 수 있다는 점에서, 사전에 유출 여부를 확인하고 비밀번호 변경 등 보안 조치를 취하도록 유도하겠다는 취지다.

30일 개인정보보호위원회에 따르면 정부는 국민이 스스로 개인정보 유출 여부를 점검할 수 있도록 ‘털린 내정보 찾기 서비스’를 개편해 운영에 들어갔다.

크리덴셜 스터핑은 이미 외부로 유출된 아이디와 비밀번호 조합을 자동 입력 프로그램으로 반복 대입해 계정을 탈취하는 해킹 수법을 말한다.

한 사람이 여러 사이트에서 동일한 계정 정보를 사용하는 경우가 많다는 점을 악용해 대량의 로그인 시도를 반복하는 방식이다.

‘털린 내정보 찾기 서비스’는 사용자가 자신의 아이디나 이메일, 비밀번호 조합을 입력하면 해당 정보가 다크웹 등에서 유통되고 있는지 여부를 확인할 수 있도록 설계된 시스템이다.

정보 유출이 확인될 경우 이용자는 비밀번호 변경이나 2단계 인증 설정 등 추가 보안 조치를 취할 수 있다.

이번 개편에서는 기존의 아이디·비밀번호 조회 기능에 더해 이메일 주소 기반 조회 기능도 새롭게 추가됐다. 최근 많은 온라인 서비스가 이메일을 계정 아이디로 사용하는 점을 고려한 조치다.

크리덴셜 스터핑 공격은 단순한 해킹 시도에 그치지 않고 다양한 범죄로 이어질 수 있다.

유출된 계정 정보를 이용해 로그인에 성공하거나 정당한 권한 없이 시스템에 접속하는 경우 정보통신망 침입죄가 문제될 수 있다.

또 계정을 통해 결제나 포인트 사용 등 재산상 이익을 취득하면 컴퓨터등사용사기죄가 적용되는 사례도 있다.

실제 법원 판결에서도 동일한 아이디와 비밀번호를 여러 사이트에서 사용하는 점을 악용해 계정에 접속한 뒤 결제까지 진행한 행위에 대해 정보통신망 침입과 컴퓨터등사용사기를 모두 인정한 사례가 있다.

2024년 청주지방법원 충주지원은 피고인이 유출된 계정 정보를 이용해 여러 온라인 계정에 접속한 뒤 저장된 결제 정보를 통해 놀이공원 이용권을 구매한 행위에 대해 정보통신망 침입과 컴퓨터등사용사기 책임을 인정했다. 재판부는 “정당한 접근권한 없이 정보통신망에 침입해 재산상 이익을 취득한 경우 형사책임이 성립한다”고 판단했다.

이처럼 계정 정보 유출은 단순한 개인정보 문제를 넘어 실제 재산 피해로 이어질 수 있다는 점에서 사전 대응이 중요하다는 지적이 나온다.

개인정보보호위원회는 “개인정보 유출 사고를 예방하기 위해서는 이용자 스스로 보안 상태를 점검하는 것이 중요하다”며 “털린 내정보 찾기 서비스를 활용해 계정 정보가 외부에 유출됐는지 수시로 확인하고 필요한 보안 조치를 취해 달라”고 밝혔다.