외부에서 확보한 아이디·비밀번호로 로그인을 시도해 개인정보를 빼내는 해킹 시도가 크게 늘면서 정보기술(IT) 기업들에 비상이 걸렸다. 기업 입장에선 대처가 쉽지 않은데 책임을 면할 수도 없는 처지다.
3일 정보기술(IT) 업계에 따르면 이 같은 방식의 ‘크리덴셜 스터핑’으로 인한 기업 피해가 증가하고 있다. 최근 GS리테일(007070)의 홈쇼핑 업체인 GS샵 홈페이지에서 발생한 158만 건의 개인정보 유출 사고와 SPC그룹의 해피포인트를 운영하는 섹타나인의 1만 7000여명 대상 사고가 모두 이 방식의 수법으로 이뤄졌다. 이중 섹타나인은 안전조치를 소홀히 했다는 이유로 14억 7700만 원의 과징금을 부과받았다.
크리덴셜 스터핑은 사용자들이 여러 사이트에서 같은 아이디·비밀번호 조합을 쓰는 점을 악용한 해킹 수법이다. 해커는 별도의 해킹 또는 다크웹 등에서 확보한 유출 계정 정보를 이용해 기업의 로그인 시스템에 무차별 입력을 시도한다. 자동화 프로그램을 이용해 아이디, 비밀번호를 다양하게 조합해 일반적인 로그인 시도로 위장한다. 수년 전부터 활용되던 기법이지만 최근 자동화된 해킹 도구가 발달하면서 더욱 정교해지고 활용 시도도 늘어나고 있다.
기업 입장에선 외부에서 유출된 개인정보를 통해 벌어지는 침입 시도인 만큼 대응이 사실상 불가능하다는 반응이다. 그렇지만 피해 발생 시에는 거액의 과징금 책임을 면할 수도 없다.
개인정보호위원회는 개인정보 유출 자체를 문제 삼는 것이 아니라 탐지, 대응 등 후속 조치에 대한 책임을 묻는 것이란 입장이다. 공격 발생 시 평소의 수십~수백 배의 로그인 시도가 발생하는 만큼 특이사항을 파악할 수 있고 이런 경우 로그인 차단 등 조치를 취할 수 있다는 것이다.
기업 입장에서는 구체적으로 어느 정도의 로그인 시도가 있을 경우 대처해야 하는지 기준이 없고 해커들도 IP를 바꿔가며 공격하는 등 대응하고 있어 적절한 대응을 하기가 쉽지 않다는 반론이 나온다. 현재로선 로그인 시도 횟수를 제한하거나 여러 차례 로그인 실패 시 자동 차단하는 게 유일한 대응책이지만 이 경우 정상 사용자의 접속이 차단되는 부작용이 발생할 수 있다. 중소기업의 경우 대응 시스템을 구축하기 위한 비용 부담도 크다.
업계 관계자는 “기업 입장에서는 아무리 사전 대응 체계를 갖춰놓는다고 해도 결과론적인 부분에 대해 책임질 수밖에 없는 어려움이 있다”며 “기업 또한 피해자인데 지나치게 징벌적인 조치만 부여할 게 아니라 신종 기법에 대한 정확한 가이드라인을 만드는 것이 중요하다”고 말했다.
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >
jin@sedaily.com
