수많은 디즈니+ 계정이 무단으로 접근되어 온라인에서 거래되고 있습니다. 해커들은 탈취한 계정의 로그인 정보를 3달러에서 11달러 사이의 가격으로 판매하고 있습니다. 이러한 상황이 발생한 원인과 디즈니+ 계정을 안전하게 보호하는 방법에 대해 알아보겠습니다.
디즈니+ 계정 해킹은 어떻게 이루어지는가?
디즈니 측은 보도자료를 통해 서버에서 “보안 침해의 징후는 발견되지 않았다”고 밝혔으며, 천만 명이 넘는 사용자 중 “일부만이” 로그인 정보가 유출된 것으로 확인되었습니다.
그렇다면 디즈니 서버가 공격받지 않았다면 수많은 계정이 어떻게 해킹될 수 있었을까요?
가장 큰 원인으로 지목되는 것은 바로 ‘비밀번호 재사용’입니다. 여러 웹사이트에서 동일한 비밀번호를 반복해서 사용할 경우, 특정 웹사이트에서 이미 유출된 로그인 정보가 다른 곳에서도 사용될 위험이 커집니다. 해커들은 이미 유출된 정보를 가지고 다른 웹사이트에서도 시도하는 수법을 사용합니다.
예를 들어, 이메일 주소가 “[email protected]”이고 비밀번호가 “SuperSecurePassword”라고 가정해 봅시다. 과거에 여러 웹사이트에서 데이터 유출이 있었고, “[email protected] / SuperSecurePassword” 조합이 유출된 데이터베이스에 존재할 가능성이 높습니다. 디즈니+ 서비스 가입 시, 사용자가 기존에 사용하던 이메일과 비밀번호를 그대로 사용할 경우, 해커는 이미 확보한 유출 정보를 통해 디즈니+ 계정에 접근할 수 있습니다.
이러한 방식으로 계정이 무단으로 접근되었을 가능성이 높습니다. 또한, 사용자의 컴퓨터에서 몰래 실행되며 로그인 정보를 캡처하는 키로깅 악성코드가 또 다른 원인일 수 있습니다. 이러한 사용자 측면의 보안 취약점이 디즈니 서버 침해보다는 더 큰 원인일 가능성이 높습니다.
비밀번호를 재사용하는 것은 온라인 보안에 큰 위험 요소입니다. 구글과 해리스의 공동 조사에 따르면, 2019년 초 기준으로 응답자의 52%가 여러 계정에 동일한 비밀번호를 사용하고, 13%는 모든 계정에서 동일한 비밀번호를 사용하는 것으로 나타났습니다. 오직 35%만이 모든 곳에서 고유한 비밀번호를 사용하고 있었습니다.
디즈니+ 계정을 안전하게 보호하는 방법
디즈니+ 계정을 포함한 모든 온라인 계정에 고유한 비밀번호를 사용하는 것이 중요합니다. 강력하고 복잡한 비밀번호를 여러 개 기억하는 것은 사실상 불가능하기 때문에, 비밀번호 관리자를 사용하는 것을 추천합니다. 비밀번호 관리자는 하나의 강력한 마스터 비밀번호로 안전한 비밀번호 저장소를 열고, 사용자의 온라인 계정에 대한 강력한 비밀번호를 자동으로 생성하고 저장하여 편리하게 사용할 수 있도록 도와줍니다.
사용하던 취약하고 재사용된 비밀번호를 강력하고 고유한 비밀번호로 변경해야 합니다. 암호 관리자에게 작업을 맡기고 사용자의 소중한 정신 에너지를 절약하세요.
특정 암호 관리자를 추천하는 것은 아니지만, 일반적으로 1Password와 LastPass를 많이 사용합니다. Dashlane은 좋은 인터페이스를 제공하고, Bitwarden과 KeePass는 오픈 소스입니다. 웹 브라우저에도 내장된 암호 관리 기능이 있지만, 내장 관리자를 사용하는 것보다 전용 암호 관리자를 사용하는 것이 좋습니다.
다음과 같은 서비스를 통해 사용자의 비밀번호가 유출되었는지 확인할 수 있습니다: Have I Been Pwned? 1Password 및 LastPass와 같은 암호 관리자도 사용자의 암호가 유출되었는지 확인하는 기능을 제공합니다. 다만, 데이터베이스에 사용자 암호가 나타나지 않더라도 여전히 침해되었을 가능성을 항상 염두에 두어야 합니다.
일반적인 온라인 보안 수칙을 준수하는 것도 중요합니다. 윈도우 PC에서는 항상 최신 버전의 백신 프로그램을 실행하고, 이메일 등 중요한 계정에는 2단계 인증을 활성화하여 계정을 보호해야 합니다. 2단계 인증은 누군가가 사용자의 아이디와 비밀번호를 훔치더라도 계정을 보호하는 데 도움이 됩니다.
디즈니, 의심스러운 로그인 시도 감지
디즈니 측은 보도자료를 통해 “의심스러운 로그인 시도가 발견되면 해당 사용자 계정을 사전에 잠그고, 사용자에게 새로운 비밀번호를 설정하도록 안내한다”고 밝혔습니다. 디즈니의 노력이 뒷받침된다면, 해커들이 탈취한 디즈니+ 계정 정보가 아무리 저렴하더라도 그 가치가 없을 수도 있습니다.
만약 계정이 잠긴 경우, 디즈니는 고객 지원 센터에 문의할 것을 권장합니다.
디즈니가 사용자 보호를 위해 해야 할 일
이번 사건에서 디즈니+의 과실은 크지 않을 가능성이 높지만, 디즈니 측에서도 해야 할 일들이 분명히 있습니다. 디즈니는 로그인 시 추가적인 코드(휴대폰으로 전송되거나 앱에서 생성)를 요구하는 2단계 인증 기능을 제공하여 계정 보안을 강화해야 합니다.
물론 이는 모든 곳에서 비밀번호를 재사용하는 사용자들을 보호하는 데 도움이 되겠지만, 이러한 사용자들은 해당 기능을 사용하지 않을 가능성이 높습니다. 2단계 인증은 좋은 보안 옵션이지만, 모든 사용자를 위한 해결책은 아닙니다.
또한, 디즈니는 유출된 사용자 이름과 비밀번호 조합을 자동으로 검색하고, 디즈니+ 사용자에게 미리 알려서 비밀번호를 변경하도록 안내할 수 있습니다. 넷플릭스는 과거에 이러한 조치를 취했습니다.
하지만 궁극적으로 이러한 문제는 디즈니+만의 문제가 아닙니다. 범죄자들은 다크 웹에서 넷플릭스 계정 정보도 거래하고 있습니다. 잘못된 비밀번호 보안 습관은 다양한 온라인 계정을 위험에 빠뜨립니다. 이것이 기술 업계에서 비밀번호 없는 인증을 지속적으로 논의하는 이유입니다.
다시 한번 강조하지만, 디즈니+ 자체가 *해킹당한 것은 아닙니다*. 디즈니+ 데이터 유출은 없었습니다.
만약 걱정된다면 비밀번호 관리자(@LastPass 또는 @1Password)를 사용하여 새로운(무작위) 비밀번호를 생성하고 *비밀번호를 변경*하세요.
또한, https://t.co/wKe1GnPdqV로 이동하여 계정을 확인하세요.
— 저스틴 두이노 (@jaduino) 2019년 11월 19일