2014년 1월 30일 야후에서 자사 메일 사용자의 계정과 패스워드를 탈취해 무단으로 이용하려는 시도를 알아채고 조치에 들어갔다고 발표했습니다. 대형 서비스 사업자들은 늘 해커들의 주요 표적이었습니다. 대부분 글로벌 비즈니스를 하면서 엄청난 사용자 정보를 가지고 있기 때문입니다. 이런 이유로 구글, 마이크로소프트, 야후 등 대형 서비스 사업자들은 보안에 만전을 기하고 있습니다. 사용자들 대부분 대형 사업자는 뭔가 좀 다르겠지? 라는 막연한 믿음을 가지고 있는데, 이번 야후의 사건은 일반 사용자들에게 경각심을 주기에 충분한 듯 합니다.

이번 계정 탈취 시도의 핵심은 야후가 털린 것이 아닙니다. 야후가 밝혔듯이 써드파티 사업자들의 데이터베이스를 통해 해커들이 정보를 수집했고, 그 결과 야후도 모르게 계정과 패스워드가 유출된 것입니다. 국내 보도에는 대부분 영어 원문을 번역해 써드파티의 데이터베이스가 털린 것이라고 간략히 언급만 했는데요, 써드파티가 무엇인지에 대해서는 설명을 해놓은 곳이 없습니다. 그렇다면 써드파티란 누구를 지칭히는 것일까요? 야후에서 말하는 써드파트는 크게 다음과 같이 구분해 볼 수 있습니다. 이들 파트너는 야후를 비즈니스 플랫폼 삼아 다양한 애플리케이션, 위젯, 컨텐츠 등의 서비스를 제공합니다.

• 분석 파트너
• 애플리케이션 개발자
• 광고 기술 파트너
• 컨텐츠 공급자
• 기타 파트너

야후는 이들 파트너 중 보안 관련 기밀 계약을 맺은 파트너에 한해 사용자 정보를 제공합니다. 물론 이들 파트너를 사용자 정보를 다른 사업자와 공유 또는 연계할 권한이 없습니다. 이번 사건의 핵심은 야후가 말하는 사용자 정보 공유를 함에 있어 믿을 수 있는 써드파티 파트너의 데이터베이스에서 정보가 유출되었다는 것입니다.

그렇다면 국내 사용자들이 믿고 쓰는 대형 포탈은 이번 야후와 같은 사건이 안 난다는 보장이 있을까요? 국내 대형 포탈 역시 잠재적 위험이 있긴 마찬 가지 입니다. 단서 조항이 있긴 하지만 개인 정보 공유, 위탁 등에 대한 내용이 있습니다. 즉, 야후에서 벌어진 일이 일어나지 않는다고 장담하기 어렵다는 것이죠. 국내 포탈도 다양한 써드파티 파트너와 함께 일을 하고 있기 때문입니다.

그렇다면 사용자들은 자신의 계정이 도용될지도 모른다는 부담을 어떻게 덜어내야 할까요? 현재로써는 가장 안전한 방법이 일회용패스워드(OTP)를 통한 이중 이중(Two Factor Authentication)을 이용하는 것이 아닐까 합니다. 현재 많은 분들이 이메일 서비스를 이용하는 구글이나 네이버의 경우는 OTP 서비스를 제공합니다. 다음의 경우는 한 때 툴바를 통해 OTP 서비스를 제공했는데 해당 서비스는 종료되었고, 현재는 후속 서비스가 다시 시작되었는지 확인이 안되네요. 당연히 있을 줄 알았는데 약간 의외였습니다. 잠시 사족을 달자면 주변 분들 중 상당 수가 G메일을 쓰고 있는데, 혹시 자신의 계정 해킹 여부가 궁금하다면 이를 확인할 수 있는 방법을 안내하고 있는 OKJSP 허광남씨의 글을 하나 추천 합니다.

다시 본론으로 돌아와, 이번 야후의 사건을 보면서 OTP 쓰길 잘했다는 생각이 또 한번 드는 것은 어쩔 수 없네요. 로그인 할 때마다 아이디, 패스워드 입력한 후 다시 스마트폰을 통해 일회용비밀번호를 받아 들어가는 것은 매우 불편하고 OTP 역시 보안 허점은 존재합니다. 하지만 현재로써는 일반 사용자가 할 수 있는 최선이 아닐까요? 참고로 야후도 유출된 것으로 보이는 계정에 대해 비밀번호를 변경한 후 이를 사용자에게 알리고 이후 후속 조치로 SMS로 일회용비밀번호를 알려주는 이중 인증을 실시하며 사건 진화에 나섰습니다.