[디지털투데이 박근모 기자] 알약, 알집, 알패스 등 이름만 들어도 알 수 있는 국민 유틸리티 프로그램 알툴즈(이스트소프트가 개발한 소프트웨어 제품군 명칭) 이용자 약 13만여명의 개인정보가 지난달 1일 유출됐다. 현재 방송통신위원회와 한국인터넷진흥원(KISA)를 중심으로 개인정보 침해사고 조사가 진행 중이다.

이스트소프트는 사고 발생 이후 캡챠(CAPTCHA)와 2팩터인증 등을 코어 시스템에 업그레이드하며 보안 강화에 나섰다. 알툴즈 보안 강화 조치 이후 사용자 불편·불만이 크게 증가했다. 특히 알패스 로그인 불가능, 접속 지연, 저장된 리스트 깨짐 현상 등 다양한 오류가 발생해 이스트소프트 측의 안일한 대응이 문제인 것 아니냐는 지적이 나오고 있다. 이스트소프트 측은 "긴급 보안 업그레이드를 과정에서 오류가 발생했던 것은 사실"이라며 "현재 보고된 오류는 모두 해결된 상태"라고 전했다.

알툴즈 개인정보 침해 사고 발생 이후 이스트소프트는 비밀번호 저장·관리 애플리케이션 알패스를 중심으로 2차 피해 확산 방지를 위해 보안 인증 강화 등을 조치했다.

이스트소프트의 알툴즈가 개인정보 침해 사고가 발생해 약 13만명의 사용자 정보가 유출됐다. (자료=홈페이지)

이스트소프트에 따르면 지난달 1일 16시 45분 해커로부터 협박성 이메일을 수신했으며, 해커가 증거로 제시한 회원 개인정보를 대조한 결과 알툴즈 사이트 이용자 아이디 및 비밀번호 13만3800건과 알패스에 등록된 웹사이트 명단, 등록된 아이디와 비밀번호 등으로 밝혔졌다.

이스트소프트의 알툴즈 중 알패스는 다양한 웹사이트의 로그인 아이디와 비밀번호를 관리하는 프로그램이다. 사용자가 알패스에 웹사이트의 아이디와 비밀번호를 저장해두면, 해당 사이트 방문시 자동으로 아이디와 비밀번호를 입력해 준다.

개인정보 침해 사고 이후 이스트소프트 측이 보안 강화 업데이트를 진행했지만, 알툴즈 및 알패스 로그인이 불가 현상과 더불어 로그인이 됐다고 하더라도 저장된 리스트가 깨지는 문제가 발생해 사용자 피해가 누적되고 있는 것으로 알려졌다.

알툴즈에 적용된 캡챠와 2팩터인증 화면

특히, 보안을 위한 조치로 로그인 할때 마다 봇(bot) 확인 절차인 캡챠 통과를 반복해야하고 로그인은 되지 않은 상태에서 '로그인 실패 오류번호 1016' 메시지만 확인 가능해 알패스 등 알툴즈를 사용하지 않겠다는 사용자도 늘어나고 있다.

이스트소프트 관계자는 "이번 개인정보 침해 사고의 경우 이스트소프트의 고객 정보가 저장된 서버가 해킹돼 발생한 것이 아니라 불특정 다수의 개인정보를 봇을 사용해 알툴즈 로그인에 무작위로 대입하는 방식으로 이뤄졌을 가능성이 크다"라며 "이같은 봇을 활용한 로그인 정보 대입 공격 방식을 방지하기 위해 캡챠를 도입한 것"이라고 설명했다.

이어 "로그인에러 1016 메시지는 비밀번호를 변경하지 않았을 경우 나오는 메시지"라며 "이는 보안을 위한 조치 중 하나로 알툴즈 사용자들은 모두 비밀번호를 새롭게 교체 해야만 정상적으로 이용 가능하다"고 덧붙였다.

캡챠(Completely Automated Public Turing test to tell Computers and Humans Apart)는 웹사이트에 접근하는 사용자가 사람인지, 봇인지를 판단하기 위해 사용되는 테스트다. 지난 1999년 처음 고안된 방법으로 아이디와 비밀번호 입력시 로그인 화면에 출력된 특정 문자나 이미지를 입력하는 방식으로 사람 여부를 구별할 수 있다. 봇이나 스팸을 활용한 공격을 차단하는데 효과가 뛰어나다. 이스트소프트 측에 따르면 현재 알툴즈에 적용된 캡챠는 구글이 제공하는 캡챠 API(애플리케이션 프로그래밍 인터페이스)를 그대로 받아와 적용한 것으로 캡챠 내용을 이스트소프트가 임의로 설정하는 것은 불가능하다고 설명했다.

알툴바와 알패스 비밀번호 재발급시 저장된 데이터가 초기화돼 복구가 불가능하다 (자료=홈페이지)

이스트소프트의 보안 강화 정책으로 인해 개인정보 도용 여부와 상관없이 일괄 비밀번호 변경을 해야만 알패스 등 알툴즈를 사용할 수 있다. 특히 기존에 알툴즈를 잘 사용 중이면서 개인정보 도용 사실이 없다고 하더라도, 새롭게 업데이트된 보안 강화 정책으로 인해 비밀번호를 재설정 해야한다. 이 과정에서 아이디나 비밀번호를 기억하지 못해 비밀번호를 재발급 받게 되면 계정이 초기화돼 지금껏 사용했던 개인 데이터가 삭제된다.

직장인 심모씨는 "업무상 다양한 웹사이트를 관리해야 했는데 알패스를 활용하면 각기 다른 아이디와 비밀번호를 따로 외우거나 할 필요가 없어 유용하게 사용했다"라며 "이번에 보안 업데이트가 되면서 비밀번호를 변경할려고 했지만 아이디와 비밀번호가 틀리다는 메시지만 나온다"고 전했다. 이어 "아이디 찾기와 비밀번호 재발급을 하고 싶어도 계정이 초기화 된다고 해 비밀번호를 찾지도 못하고 난감한 상황"이라고 덧붙였다.

이스트소프트 측은 "개인정보 침해사고 발생 이후 사용자 보안 조치의 일환으로 사용자 비밀번호를 강제적으로 변경해야 사용할 수 있도록 했다"라며 "알패스 등 알툴즈에 저장된 사용자 정보는 이스트소프트의 서버에 저장되는데, 이 과정에서 사용자의 아이디와 비밀번호를 기반으로 높은 수준의 암호화를 적용한 상태로 사용자 계정 정보를 바탕으로 한 마스터키가 없다면 복구가 불가능하다"고 말했다.

이어 "긴급 보안 업데이트를 진행하면서 일부 사용자들 중 로그인 오류나 저장된 내용이 깨지는 등 문제가 발생했던건 사실"이라며 "현재 보고된 오류는 모두 해결된 상태로, 지속적으로 모니터링을 하는 만큼 새로운 문제 발견시 빠른 해결을 위해 최선을 다할 것"이라고 덧붙였다.

저작권자 © 디지털투데이 (DigitalToday) 무단전재 및 재배포 금지