인터넷상 불법 유통되는 개인정보(아이디, 패스워드)가 명의도용・보이스피싱 등 각종 범죄에 악용되고 있어, 다크웹 등 음성화 사이트에서 유통되고 있는 내 정보 유출 확인을 통해 2차 피해를 방지하기 위한 서비스이다.
본 서비스는 사용자가 입력한 계정정보(아이디, 패스워드)를 암호화하여 단순 비교만을 수행, 평문 데이터를 저장 또는 보관하지 않는다.
다크 웹
다크 웹은 일반적인 검색 엔진으로는 찾을 수 없어 특수한 경로로만 접근할 수 있는 웹사이트다. 검열을 피하고 익명성이 보장돼 추적이 어렵다는 점을 악용해 다크 웹은 해킹, 불법 금융, 마약 거래, 음란물 등 주로 불법적인 정보가 거래되며 범죄의 통로가 되고 있다. 딥 웹(deep web), 섀도 웹(shadow web) 등으로 불린다.
01. 내 계정 정보는 다른 사람들과 공유하지 않기 02. SNS, 클라우드 등 로그인 시 계정 '2단계 인증 설정'하기 03. 사용하지 않는 앱은 회원탈퇴하고 삭제하기 04. 출처가 불분명한 의심스러운 링크(URL)는 클릭하지 말고 삭제하기 05. 스마트폰, PC 등 단말기 중고거래 시 초기화(포맷) 설정하기 06. 라이브방송 시 주변 사람들의 얼굴이나 위치정보 노출하지 않기 07. 게시글, 댓글 및 사진, 동영상 업로드 시 개인정보가 있는지 확인하기 08. 택배송장, 신용카드 영수증 등을 통한 개인정보 유출에 주의하기 09. 과도한 개인정보를 요구하는 아르바이트나 이벤트는 의심하기 10. 다중이용시설 방문 시 QR체크인, 개인안심번호, 안심콜 사용하기
계정정보 유출여부는 왜 확인해야 하나?
웹사이트에서 사용하는 아이디(ID)와 패스워드(PW)는 다른 정보와 결합하여 쉽게 사용자를 특정할 수 있는 개인정보이다.
따라서 계정정보가 불법적으로 유통되는 경우에는 크리덴셜 스터핑 공격*으로 악용되어 ‘명의도용, 사기거래, 보이스피싱 등’의 피해가 발생할 수 있다.
본 서비스를 통해 유출로 인지하였다면, 사용자는 신속히 가입한 사이트에 접속하여 패스워드를 변경하여 2차적인 유출피해를 예방할 수 있다.
* 크리덴셜 스터핑(Credential stuffing) 공격 : 사용자들이 온라인 상의 여러 사이트에 걸쳐 ‘ID, PW’를 동일하게 사용한다는 점을 악용하여, 다크웹 등 음성화 된 사이트에 유통되는 계정정보를 불법취득하고 계정해킹을 위해 무작위 대입하는 공격
유출된 계정정보는 어디에서 수집한 것인가?
다크웹, 딥웹* 등을 포함하여 온라인 상에 유출되었다고 인지 및 공개된 정보를 토대로 적법하게 수집하고 있다.
특히 작년 11월, 다크웹 등에서 불법유통된 국내 계정정보(23백만여건)에 ‘일방향 암호화 기술’을 적용한 데이터와 구글의 패스워드 안전성 진단 서비스(40억여건)를활용하여 서비스하고 있다.
또한 본 서비스는 ‘아이디, 패스워드’를 평문으로 보관하지 않고, 안전성을 위하여 즉시 일방향 암호화(HASH)하여 단순 조회정보 제공 목적으로만 활용하고 있다.
* 딥웹 : 검색 및 정보 접근이 제한되는 웹으로, IP주소나 URL을 알면 접속 가능하나, 로그인 등 접속 권한 부여가 필요함(ex, 기업의 인트라넷이나 해커포럼 등이 해당)
조회를 위해 입력한 ‘이메일주소, 아이디(ID), 패스워드(PW)’는 안전하게 처리되나?
본 서비스는 사용자가 입력하는 계정정보(ID,PW)가 유출이력 여부를 조회 및 확인할 수 있도록 결과를 제공하고 있습니다.
사용자가 입력한 정보는 일방향 암호화(HASH) 및 조회 후에 즉시 파기 또는 본인인증용 이메일주소는 익일 0시까지 보관 및 파기하며, 비교·대조하기 위한 데이터 역시 HASH로 안전하게 처리 및 보관하고 있으므로 안심하고 사용할 수 있다.
「털린 내 정보 찾기 서비스」를 통해 '유출이력 있음' 결과를 확인하였다면 어떠한 조치를 해야 되나?
유출이력이 존재하는 경우에는 즉시 패스워드를 변경하여 ‘명의도용, 사기거래, 보이스피싱 등’의 2차 유출피해를 방지할 수 있다.
‘패스워드 선택 및 이용 안내서’를 참고여 안전한 패스워드로 변경할 것을 권장.
명의도용이 의심되거나 ‘아이디, 패스워드’를 알지 못해 회원탈퇴가 어려운 경우, 개인정보보호위원회에서 운영 중인 ‘e프라이버시 클린서비스(www.eprivacy.go.kr)’를 사용.
사용자는 장기간 미사용 및 미접속한 웹사이트에 대한 회원탈퇴 등을 통하여 개인정보를 안전하게 관리.
유출된 계정정보에 대하여 개인정보 처리 열람/정정/삭제 요구권을 행사할 수 있나?
원칙적으로 열람권 행사의 대상이나, 개인정보 보호법 제35조 제4항 제2호에 따라 열람을 제한하거나 거절할 수 있다.
본 서비스는 계정정보를 미보관하므로(HASH값만 저장) 삭제가 불가능하며, 서비스 내 비교 대조용 입력 값은 즉시 삭제한다.
