[아이뉴스24 김국배기자] 13만여 건의 '알툴즈' 사이트 가입자 개인정보를 유출한 이스트소프트가 뒤늦게 로그인 보안을 강화하는 등 서둘러 사고 수습에 나서고 있다.
로그인 보안 강화는 암호를 무차별 대입하는 '브루트 포스(Brute Force·무작위 대입)' 공격에 대비하기 위한 조치 중 하나다.
앞서 회사 측은 이번 사고가 서버 해킹보다는 이같은 공격 방식의 일환일 가능성이 크다고 밝힌 바 있다.
이번 경우 해커가 기존에 발생한 여러 차례의 개인정보 유출사고에서 입수한 불특정 다수의 아이디와 비밀번호를 무작위로 대입해 로그인에 성공하는 계정만 분류하는 '사전 대입식 아이디·패스워드 자동화 공격'을 사용했을 것으로 추정했다.
해커가 직접 서버에 침투해 개인정보를 탈취한 흔적은 보이지 않았다는 것이 그 근거다.
9일 이스트소프트는 '긴급 보안 대응 조치'의 일환으로 알툴즈 웹사이트, 알툴바·스윙브라우저에 포함된 알패스 기능을 대상으로 로그인 보안강화 조치를 적용했다고 발표했다.
또 봇(Bot)을 통한 자동화된 로그인 시도가 불가능하도록 방어해주는 2차 보안 수단 '캡챠(CAPTCHA)'를 적용했다.
알패스는 웹사이트에서 사용하는 아이디와 비밀번호를 기억했다가 해당 사이트를 재방문하면 로그인 창에 자동으로 아이디와 비밀번호를 입력해주는 서비스다.
그 동안 알툴즈 웹사이트 등에 로그인 보안이 전혀 적용되지 않았던 것은 아니나, 미흡한 면이 없었다고 하기는 힘들어 보인다.
이스트소프트 관계자는 "로그인 시도 실패 횟수 제한 등 기본적인 보안은 적용돼 있었다"면서 "이번 조치는 2단계 인증 등을 추가해 로그인 보안을 한층 더 강화하는 것"이라고 설명했다.
현재 방송통신위원회와 경찰이 이번 사고 조사에 착수한 상태다. 이스트소프트는 홈페이지를 통해 조치 대응 상황을 시간별로 공지하는 등 고객에게 적극적으로 알리며 추가 피해 가능성을 예방하기 위해 노력중이다.
로그인 보안 강화 조치 외 고객 개인정보의 2차 도용 피해 방지를 위해 '알패스 사이트 목록' 내려받기 기능을 마련했다. 이를 통해 모든 알패스 사용자들은 계정에 등록된 외부 사이트를 확인하고 비밀번호를 변경할 수 있다.
회사 관계자는 "고객께서는 혹시 모를 2차 피해를 예방하실 수 있도록 반드시 알툴즈 회원 비밀번호를 변경하고 로그인 조치가 강화된 최신 버전의 알패스 기능을 사용하길 당부 드린다"고 전했다.
김국배기자 vermeer@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기