Home > 전체기사

“당신의 비밀번호가 유출됐습니다” MS 엣지 ‘패스워드 모니터’ 아시나요?

  |  입력 : 2021-06-02 18:00
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
엣지 브라우저에 저장된 아이디·비밀번호 검색해 다크웹 등에 유출 여부 파악
패스워드 모니터 기능 제대로 활용하면 계정 정보 유출 여부 신속히 파악해 조치 가능


[보안뉴스 이상우 기자] 마이크로소프트가 발표한 자료에 따르면 사이버 공격자는 하루 평균 5,000만 건, 초당 약 579건의 비밀번호 공격을 시도하는 것으로 나타났다. 공격자는 보안이 취약한 웹 사이트에서 사용자의 계정 정보를 유출하거나 정교하게 꾸민 피싱 사이트를 통해 사용자 스스로 ID와 비밀번호를 입력하도록 유도하기도 한다.

[이미지=utoimage]


유출된 아이디와 비밀번호는 다크웹 등의 온라인 ‘암시장’을 통해 유통되고, 이를 얻은 공격자는 여러 계정 정보를 조합해 다양한 서비스에 대입해본다. 이른바 크리덴셜 스터핑(Credential Stuffing) 공격이다. 이러한 공격을 예방하기 위해서는 주기적으로 비밀번호를 변경하고, 여러 서비스에 동일한 아이디와 비밀번호 조합을 사용하는 것을 지양해야 하며, 2단계 인증을 통해 정보가 유출되더라도 공격자가 접근할 수 없도록 조치하는 것이 최선이다. 하지만 이를 잘 실천하는 사용자가 그리 많지 않은 것이 현실이다.

마이크로소프트의 엣지 브라우저에서 제공하는 ‘패스워드 모니터’는 다크웹 등을 스캔해 사용자의 계정 정보가 유출됐는지 확인하고, 이를 알려주는 기능이다. 엣지 브라우저는 다른 브라우저와 마찬가지로 각 웹 사이트 로그인 시 아이디와 비밀번호를 저장하는 기능을 제공한다. 이를 통해 사용자는 다음 로그인 시 비밀번호를 직접 입력하지 않고도 간편하게 로그인할 수 있다.

[자료=마이크로소프트]


패스워드 모니터는 여기에 기록된 아이디·비밀번호 조합을 기준으로 동일한 정보가 웹 상에 유출됐는지 파악한다. 만약 동일한 정보가 있다면 엣지 브라우저는 이러한 사실을 사용자에게 알려주며, 해당 웹 사이트로 직접 이동해 비밀번호를 변경하도록 돕는다.

패스워드 모니터를 켜기 위해서는 우선 엣지 브라우저 우측 상단에 있는 더 보기 버튼을 눌러 설정 항목으로 진입해야 한다. 이후 처음 나타나는 창에서 ‘암호’ 항목을 선택하고, ‘암호가 온라인 유출에서 발견되면 경고 표시’ 항목을 활성화하면 된다. 바로 아래 있는 ‘결과보기’ 항목을 누를 경우 현재 브라우저에 저장된 비밀번호가 유출됐는지 직접 확인할 수 있으며, ‘지금검사’ 버튼을 눌러 스캔하는 것도 가능하다.

마이크로소프트에 따르면 이 검색 기능에는 준동형암호 기술을 적용했다. 즉, 사용자 아이디와 비밀번호를 직접 웹에서 검색하는 것이 아닌 암호화한 상태로 활용하며, 사용자의 자격증명 정보에 대해 직접 접근하지 않는다.

▲엣지 브라우저에서의 패스워드 모니터 설정방법 [자료=보안뉴스]


앞서 언급한 것처럼 자격증명 정보를 보호하는 최선의 방법은 주기적인 변경과 각 서비스마다 서로 다른 아이디·비밀번호 조합을 사용하는 것이다. 특히, 2단계 인증을 사용할 경우 상대적으로 간단한 비밀번호를 사용하더라도 계정을 안전하게 보호할 수 있다. 추가 인증 수단 없이는 유출된 자격증명 정보만으로는 로그인을 할 수 없기 때문이다. 패스워드 모니터는 자신의 정보가 유출됐는지 확인하고, 빠르게 대응할 수 있도록 도와주는 기능이다. 하지만 무엇보다 중요한 것은 ‘예방’임을 잊지 말자.
[이상우 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 상반기 발생했던 보안 사건 가운데 가장 파급력이 컸던 이슈는 무엇이라고 보시나요?
솔라윈즈 사건
콜로니얼 파이프라인 사건
카세야 사건
익스체인지 서버 취약점 사건
원자력연구원/KAI 해킹 사건
국내 대기업 주요 정보 다크웹 유출 사건
기타(댓글로)