다음 계정을 탈취당할 뻔 했다

어제 아침 충격적인 일이 있었다. 메일을 확인하려고 다음에 로그인을 하려는데 내가 약관을 위배해서 로그인이 차단됐다는 거다. 읽어보니 1월 7일에 다량의 스팸메일을 발송하였다고 한다. 너무 놀라서 허둥지둥 차단해제를 하고서 내가 보냈다는 메일을 확인해보니 정말 내 계정을 통해서 발송된 메일이었다.

더 충격적인 것은 smtp를 통해서 메일을 발송했다는거다. smtp의 인증은 id와 비밀번호다. 비밀번호를 누군가 알고 있다는거다! 다행히 다음 비밀번호는 예전에 쓰던 것이고 미처 바꾸지 못했던 거였다. 중요한 서비스에서 사용하는 비밀번호는 따로 관리하는데 이 비밀번호를 한번 쭉 변경하면서 변경 전 비밀번호를 아무곳에나 사용했던 것 같다. 다음은 이제 중요서비스가 아니게 된건가? 쩝.

어쨌든 중요한 것은 탈취당할 뻔 했던 계정을 서비스가 차단해주었고 덕분에 내 계정을 되찾을 수 있었다는 것이다. 탈취자가 smtp 발송에 한번 이용하고 버릴 것 같긴 했지만 ;;; 말로만 듣던 계정 탈취를 당하고 나니 귀찮게만 느껴지던 보안 기능을 살려야겠다는 생각이 들었다.

다음 로그인 보안

다음은 크게 두가지 방법을 통해서 보안 서비스를 제공한다. 바로 2단계 인증과 국가별 로그인 허용이다. 국가별 로그인 허용은 최대 5개의 나라를 정해서 로그인을 허용하는 기능이다. 2단계 인증은 기본적으로 OTP를 사용한 로그인이라고 보면된다. 로그인할 때마다 문자메시지로 발송된 번호를 추가로 입력해야 한다. 여기에 편의 기능으로 로그인 기기를 등록하면 OTP를 스킵하는 기능과 어플리케이션 비밀번호가 있다. 카카오톡을 통한 OTP같은 것을 생각했는데 사용자가 로그인할 때마다 문자메시지를 보내다니 돈이 많은가부다. 푼돈인가?

이거 외에는 없는 것 같다. 내 비밀번호를 획득한 자가 대량 스팸메일 발송같이 티나는 짓을 하지 않았다면 아마 모르고 넘어갔을 것 같다. 이 부분은 조금 아쉽다. 예전 페이스북의 경험에 비추어 볼때 다음도 내 추가 이메일과 전화번호를 알고 있으니 거기로 알림 같은 것을 보내줄 수 있었을 것인데 그러지 않았다. 심지어 로그인이 차단되었는데도 아무런 알림이 없었다. 메일이든 전화로든...

티스토리 로그인 보안

이쯤에서 작년에 적용했던 티스토리 로그인 보안 기능을 돌아보지 않을 수 없다. 티스토리 로그인 보안 기능은 다음의 2단계 인증 중 기기를 등록하는 방식만을 제공하도록 설계되었다. 전화번호도 모르고 아는 것이라고는 이메일 뿐이라서 어쩔 수 없는 선택이긴했다.

자! 이 기능은 과연 안전한가? 돌아보자. 사실 이 기능을 강제로 모든 계정에 적용한 후로 계정이 탈취되었다는 신고는 급격히 줄어들었다. 아니 완전히 없어졌다고 봐도 무방할 것 같다. 그 뒤로는 한번도 탈취관련 이야기를 들은 적이 없다. 이 사실만을 보자면 안전한 것 같다. 하지만 이 기능은 사용자가 사용하지 않으면 무용지물이다. 여전히 다른 방법이 필요하다.

보안기능을 사용하지는 않더라도 새로운 기기에서 로그인을 하면 사용자에게 알림을 보내는 것은 어떨까? 국가별 제한기능을 사용하지 않더라도 새로운 국가에서 로그인을 하면 추가로 인증을 받는 것은 어떨까? 기기 인증과 비슷하게 국가인증을 하면 될 것 같다.


아이디를 탈취당할 뻔 하고보니 이런 저런 생각이 든다. 그리고 다시한번 되뇌이게 된다. '비밀번호는 안전하지 않다'

반응형