[보안뉴스 김경애 기자] 온라인 중고서점으로 잘 알려진 알라딘에서 타 사이트로부터 수집된 아이디와 비밀번호로 무차별 로그인을 시도한 사건이 발생했다.

▲타 사이트로부터 수집된 아이디와 비밀번호로 알라딘에 로그인 시도를 했다는 알라딘 고객센터 블로그 공지사항 화면[사진=알라딘 고객센터 블로그 캡처]

지난 18일 알라딘 고객센터 블로그에 따르면 최근 타 사이트의 아이디와 비밀번호를 확보해 여러 사이트에 무차별 로그인을 시도하는 사례가 발생했는데, 알라딘도 이런 시도가 있었다며 예치금을 탈취할 의도로 파악된다고 밝혔다. 이에 알라딘 측은 2개 계정에서 예치금 54만 원을 환급했고, 14개 계정에서 추가 시도했으나 차단됐다며, 이후 추가적인 로그인 시도는 발생하지 않다고 공지했다.

그러면서 알라딘 측은 “타 사이트를 통해 유출된 아이디와 비밀번호를 계속 이용할 경우 언제든 다른 사이트에서도 피해를 당할 수 있다”며 “도용 시도 여부를 확인하고, 알라딘을 비롯한 주요 사이트의 비밀번호를 즉시 변경할 것”을 당부했다.

이번 사건을 두고 한 보안전문가는 “사용자는 가급적 사이트마다 다른 암호를 사용하고, 특히 포인트를 현금화 할 수 있는 사이트는 더욱 각별히 아이디와 암호를 지정해야 한다”고 강조했다.

익명을 요청한 한 CISO는 “여러 사이트에 계정정보(ID/PW)를 동일하게 설정했고, 그 중 어느 한 사이트가 타인에 의해 침해된 경우라면 당연히 비밀번호 변경이 필요하지만, 그렇지 않은 경우라면 오히려 비밀번호를 변경하지 않는 것이 바람직하다”며 “이는 비밀번호를 자주 변경할수록 오히려 보안성이 낮은 비밀번호를 생성하는 경향을 보인다는 해외 보안연구진의 견해에서도 입증되고 있다”고 밝혔다.

그러면서 그는 계정정보가 침해된 사실이 있는지 ‘Have I been pwned(https://haveibeenpwned.com)’를 통해 확인해보고, 침해사실이 확인된다면 계정정보를 변경할 것을 권장했다.

센스톤 이준호 대표는 “수많은 개인정보 유출사고를 겪으면서 아이디와 패스워드만으로 보안을 담보할 수는 없는 시대가 왔다”며 “아이디와 패스워드가 가장 쉽고 편한 인증수단이지만 이제는 이용자와 사업자 모두 인증 보안에 대해 진지하게 고민해봐야 할 것”이라고 말했다.

덧붙여 이 대표는 “현재 로그인 보안을 강화하는 다양한 수단들이 나와 있다”며 “도입하는 입장에서는 사용성을 해치치 않도록 노력하고, 사용자는 보안을 위해 약간의 불편함을 감수한다는 자세를 갖는다면 계정 도용으로 인한 피해는 충분히 예방할 수 있다”고 설명했다.
[김경애 기자(boan3@boannews.com)]