철통같은 해킹 보안을 자랑하던 세계적인 IT그룹인 ‘구글’의 보안망이 속수무책 뚫렸다.
12일 IT업계에 따르면 구글의 지메일 주소와 관련된 암호 500만건이 유출되는 초유의 사태가 발생했다.
지난 9일(현지시간)러시아의 한 비트코인 포럼 게시판에는 지메일 계정과 암호 조합 500만건이 담긴 파일이 무작위로 올라왔다.
IT전문가들은 유출된 암호는 ‘피싱’과 같은 수법을 통해 확보됐거나 타 사이트에서 사용됐을 가능성에 무게를 싣고 있다.
구글 관계자는 “구글 시스템에 허가받지 않은 접근이 있었다는 증거는 아직 발견되지 못했지만 (외부 침해)확인될 경우 구글은 사용자들의 계정을 안전하게 보호하기 위한 절차에 착수 할 것”이라고 밝혔다.
구글의 지메일 계정 유출사고 원인 중 하나로 지목되고 있는 ‘피싱’은 국내외 유명기관을 사칭, 개인정보나 금융정보를 수집하고 이를 악용해 금전적인 이익을 노리는 신종 사기의 일종이다.
사칭 대상의 기관 유형은 은행과 신용카드사, 전자지불업체 등 금융기관이나 쇼핑몰, 온라인 경매 등과 같은 전자상거래 업체와 기타 온라인 게임과 취업알선, 성금모금에 이르기까지 다양한 유형을 나타내고 있다.
전문가들은 피싱에 따른 직접적인 피해로 예금인출이나 결재대납 등이 발생될 수 있고 한번 유출된 개인정보는 쉽게 삭제되지 않아 사전 예방이 피해를 줄일 수 있다고 분석하고 있다.
실제로 국내에서는 지난 4일 공인인증서 1400여건이 유출된 사고가 순천향대 SCH사이버보안연구센터를 통해 발견되기도 했다.
아울러 지난 1일(현지시간) 애플의 아이클라우드에서 할리우드 유명인들의 개인 사진이 대량 유출된 사건 은 특정 사용자 이름, 암호, 보안 질문 등을 놓고 집중 공격을 하는 방식으로 이뤄졌다.
해커는 인터넷 등에 떠도는 정보를 조합해 패스워드나 보안 질문의 답을 짐작하는 방식으로 계정 접근권을 얻은 것으로 추정된다.
애플사의 팀 쿡 최고경영자(CEO)는 “할리우드 스타들이 ID와 패스워드를 얻기 위한 피싱 사기에 넘어갔기 때문”이라고 해명했다.
해킹에 의한 개인정보유출 사고는 국내에서도 심각한 문제로 지적되고 있다. 최근 국내 최대 통신기업인 KT의 개인유출사고가 대표적인 사례다.
지난 2012년 7월 KT가입자 870만명의 개인정보가 무분별하게 유출된 사건은 해커 2명이 고객정보를 몰래 조회할 수 있는 프로그램을 통해 이름과 주민등록번호를 비롯해 휴대전화 가입일, 고객번호, 사용 요금제, 기기 변경일 등의 개인정보를 빼내간 사고였다.
KT는 해커의 반복적인 로그인 시도를 5개월간 파악조차 하지 못했고 지난 2013년 8월부터 올해 2월 사이에도 가입자 981만여 명의 개인정보가 추가로 유출됐다.
보안전문가들은 “회사의 기술적 보안조치도 중요하지만 100% 완벽한 보안이란 불가능하므로 더 중요한 것은 이용자들의 보안의식”이라고 입을 모았다.
인텔시큐리티의 보안전문가 라즈 사마니는 “암호는 숫자, 부호, 대문자, 소문자를 섞어 최소 6∼8자 길이로 만들어야 한다”며 "다수의 사이트에서 같은 암호를 사용할 경우 한 곳이 뚫리면 모든 디지털 생활이 노출될 수 있다“고 경고했다.
한국인터넷진흥원(KISA)가 발표한 정보보호 가이드라인에 따르면 비밀번호 설정은 숫자와 특수문자를 고루 섞어 8자 이상 구성해야 하고 본인이나 가족의 이름과 생일, 주민번호 등 추측 가능한 암호는 설정하지 않아야 한다.
여기에 비밀번호는 이용하는 웹사이트마다 변환시켜 설정케 하고 최소 3개월마다 주기적으로 변경할 것을 권장하고 있다.
국내 정보보호 전문업체 안랩의 관계자는 “수상한 메일 첨부파일을 실행시키거나 SNS에 첨부된 URL은 클릭하지 말라”면서 “보안사고는 대부분 보안수칙을 실천하지 않는 데서 발생한다”고 지적했다.
이 관계자는 “새로운 위협에 대한 솔루션 개발을 위해 전체 인력의 50% 이상을 R&D 인력을 운용하는 등 연구개발에 힘쓰고 있다”고 덧붙였다.
한편 국내 정보보호 전문업체 NSHC는 이번 구글 지메일 계정의 유출여부를 확인할 수 있는 '유출 검사기'(54.68.127.168/ck.php)를 발표하고 사이트에 접속시 지메일 계정을 넣으면 정보유출 여부를 확인할 수 있다.