비밀번호 유출을 확인해보자 - Avast Hack Check

안녕하세요.

 

사실 어제로 갤럭시 Z Flip 사용 한달째를 맞아서 한달 사용기를 준비해볼까 싶었는데,

좀 오래 걸릴 것 같아서 주말에 하든 나중에 하든 미뤄놓고요.

 

오늘 충격받았던 일이었던,

비밀번호 유출 여부를 확인할 수 있는,

Avast Hack Check를 소개합니다.

 

 

Avast는 꽤 유명한 백신 업체입니다.

과거에 윈도우 메인으로 사용할 때, AVG, Avast 등의 백신 프로그램을 썼는데,

지금 글 쓰면서 찾아보니 Avast가 AVG를 인수했다는군요?

 

아무튼, 백신 업체에서 제공하는, 비밀번호 유출 여부 확인 웹사이트입니다.

아, 지난 1월 기사로,

“어베스트와 AVG, 백신SW로 개인 정보 수집해 판매했다”

 

이런 기사도 있으니 찜찜하신 분은 피하시죠.

이건 백신SW도 아니고 그냥 홈페이지에 입력폼 하나지만... 얘네들이 뒤에서 뭘 수집할지는 모르는거니까요.

 

 

주소는 https://www.avast.com/hackcheck 입니다.

들어가시면,

 

 

이런 페이지를 만날 수 있습니다.

이메일 주소를 넣으면, 유출 여부를 확인할 수 있다네요.

 

이메일 주소를 넣습니다.

 

 

 

예...?

무려 2건이 유출되었다는군요...!!!!!!

 

헐. 충격.

이메일을 열어봅니다.

이렇게 나옵니다.

드롭박스에서는 암호화된 비밀번호가 유출된거고,

아래 모 사이트에서는 그냥 빨간 열쇠 마크가 있네요.

 

 

이제 저 SHOW DETAILS를 눌러보면, 자세한 내용을 확인해볼 수 있습니다.

 

드롭박스는 뭐 암호화된 비밀번호니 봐도 뭐 딱히 할 수 있는건 없습니다만...

저 빨간 열쇠 마크는... SHOW DETAILS 눌러서 보면...

실제...

비밀번호를 확인할 수 있습니다...............

 

정말 충격이었습니다.

이메일 계정의 비밀번호는 아니지만, 제가 실제로 썼던 비밀번호가 적혀있었던 것이지요.

 

설마? 하고 다른 이메일주소들도 넣어봅니다.

다행히 저거 빼곤 다른건 다 0건이었네요.

 

이 이메일들 및 비번을 보고, 다음 내용을 확실히 얘기할 수 있게 되었습니다.

 

이 Avast Hack Check는 일단 실제 유출된 데이터베이스를 기반으로 만들어진건 맞다.

근데 이게 "이메일 제공 업체"의 비밀번호가 유출된게 아니라,

"이메일 계정을 아이디로 쓰는 사이트"에서 비밀번호가 유출된 것이다.

 

즉, 이메일이 털린게 아니고, 이메일을 아이디로 사용하는 곳 어딘가에서 털린 것.

 

 

그래서 실제로 제가 저 사이트에 가입을 했는지, 이력을 찾아보기로 했습니다.

2011년...부터 해당 웹사이트에서 메일을 보낸 이력이 있더군요.

과제에 쓸 솔루션을 찾다가 아무 솔루션 사이트에 가입을 한 것이었고,

졸업은 진작에 했습니다만 그렇게 가입한걸 기억할 리가 없고...

 

2018년에 유출이 된 것입니다.

 

졸업할때 계정 정리나 했었어야 했나...

 

 

우리나라는 개인정보보호법에 따라 사용하지 않는 계정이 몇년 지나면 계정 정보를 폐기하게 되어 있습니다. 몇년 전부터 강화돼서 "휴면 계정"으로 전환한다는 메일, 계정 사라진다는 메일을 꽤 받았죠.

이 법률의 장점을 여기서 찾을 수 있겠네요.

 

 

오늘의 결론입니다.

 - 웹사이트 비밀번호는 가능하면 서로 다르게 해놓자

 - 보안이 의심되는 사이트들은 아무 비밀번호나 쓰자... 아니면 아예 이메일도 아무 이메일이나 쓰자

 - 가입 시 https가 아니라 http라면 의심하자