데이터 침해의 위험을 조사해 왔다면 Have I Been Pwned(또는 HIBP)라는 웹사이트를 접했을 것입니다. 웹사이트의 전제는 간단합니다. 이메일 주소, 전화번호, 사용자 이름 또는 비밀번호를 입력하는 대가로 Have I Been Pwned에서 온라인에 게시된 적이 있는지 알려줍니다.
사람들이 귀하의 데이터를 훔치는 것이 걱정된다면 이러한 세부 정보를 비정상적인 웹사이트에 제공하는 것은 최선의 선택이 아닌 것 같습니다.
그렇다면 Have I Been Pwned가 정확히 무엇이며 더 중요한 것은 믿을 수 있습니까?
내가 Pwned (HIBP) 란 무엇입니까?
Have I Been Pwned는 2019년 기준으로 구독자가 200만 명이 넘는 인기 웹사이트입니다.
귀하의 세부 정보를 누구에게 제공할 것인지 주의하는 것이 현명하지만 이 웹사이트는 문제를 일으키지 않도록 방지하는 데 도움이 되도록 설계되었습니다.
Have I Been Pwned는 원래 Troy Hunt라는 보안 연구원이 2013년에 만들었습니다. Hunt에 따르면 그는 3,200만 명에게 영향을 미친 Adobe Systems의 데이터 침해에 대응하여 웹사이트를 만들었습니다.
그는 공격 당시 해커가 훔친 계정 세부 정보를 대량으로 다운로드하는 것이 쉬웠다고 주장합니다. 그러나 일반 사람이 자신의 세부 정보가 포함되어 있는지 알아내기가 매우 어려웠습니다.
웹 사이트가 시작되었을 때 5건의 보안 침해 기록만 있었습니다. 이제 Have I Been Pwned에는 수백 건의 침해 기록이 기록되어 있으며 보통 사람은 이러한 침해가 몇 초 안에 포함되는지 확인할 수 있습니다.
Have I Been Pwned의 의도에 대해 여전히 우려하고 있다면 전체 시스템을 오픈 소스로 만들 계획이 최근에 발표되었다는 점도 주목할 가치가 있습니다.
내가 Pwned라고 불리는 이유는 무엇입니까?
이름이 자동으로 자신감을 불러일으키지 않는다면 해커가 사용하는 용어에서 파생되었기 때문입니다.
해킹에서 "pwn"이라는 용어는 다른 컴퓨터나 애플리케이션을 손상시키거나 제어하는 것을 의미합니다.
로고에는 ';-- 텍스트도 포함됩니다. 이는 데이터 유출을 시작하는 인기 있는 방법인 SQL 주입과 관련이 있습니다.
내가 어디에서 정보를 얻었습니까?
계정 세부 정보가 대량으로 도용되면 누구나 다운로드할 수 있도록 온라인에 게시되는 경우가 많습니다.
웹사이트의 명성으로 인해 익명의 소식통이 헌트에게 기부를 요청한 경우도 많습니다.
따라서 웹사이트를 최신 상태로 유지하는 것은 발생하는 데이터 덤프를 추가하는 문제입니다.
틀림없이 웹 사이트의 가장 인상적인 기능은 Dump Monitor입니다. 이것은 잠재적인 데이터 덤프에 대해 Pastebin 페이스트를 모니터링하는 Twitter 봇입니다. 하나를 찾으면 모든 계정 세부 정보가 실시간으로 추가됩니다.
대부분의 데이터 덤프는 즉시 논의되지 않습니다. 따라서 귀하의 세부 정보가 도난당한 경우 도난되었다는 소식을 듣기도 전에 데이터베이스에 추가될 가능성이 높습니다.
웹 사이트는 최근에 FBI와 협력하고 있다고 발표했기 때문에 앞으로 더욱 빨라질 것입니다. 제안된 계약에 따라 FBI는 손상된 비밀번호가 발견되는 즉시 데이터베이스에 제공할 것으로 예상됩니다.
FBI는 분명히 모든 종류의 범죄자를 조사할 책임이 있으므로 다른 누구도 하지 않을 비밀번호에 액세스할 수 있습니다.
회사에서 내 세부 정보가 도난당한 경우 알려주지 않습니까?
회사에서 데이터 유출을 경험한 경우 올바른 조치는 영향을 받았을 수 있는 모든 사람에게 연락하는 것입니다. 불행히도 항상 그런 것은 아닙니다.
때로는 모든 사람에게 연락하는 것이 실용적이지 않습니다. 예를 들어, 사람들은 서비스에 가입한 다음 이메일 주소를 변경할 수 있습니다. 다른 경우에는 데이터 침해가 회사를 나쁘게 만들 수 있기 때문에 공개되지 않습니다.
2015년에 Hunt는 웹 호스팅 회사 000WebHost에서 온 것으로 보이는 데이터 덤프를 제공한 익명의 소스로부터 연락을 받았습니다. Hunt는 Forbes 기자와 협력하여 데이터를 확인했습니다. 이에 해당 업체에 연락을 시도했으나 회신이 없었다.
000WebHost는 결국 위반을 인정했지만 Forbes 기자가 해당 주제에 대한 기사를 게시한 후에야 이러한 일이 발생했습니다.
귀하의 세부 정보가 데이터 위반과 관련된 경우 어떻게 됩니까
계정 세부 정보가 온라인에 게시되면 여러 가지 일이 발생할 수 있지만 그 중 아무 것도 좋지 않습니다.
이메일 계정이 침해되면 해커가 이 계정을 사용하여 이메일이 연결된 모든 서비스에 액세스할 수 있습니다. 그들은 또한 당신을 가장하여 사람들에게 연락할 수 있습니다. 계정에 개인 정보가 있는 경우 해당 계정을 판매하거나 신분 도용에 사용할 수 있습니다. 온라인 은행 계좌에 액세스하면 돈을 도난당할 수 있습니다.
Pwned 사용 방법
Have I Been Pwned는 사용하기가 매우 쉽습니다. 세부 정보를 입력하기만 하면 일치하는 항목이 있는지 알려줍니다. 다음은 서비스를 사용할 때 염두에 두어야 할 몇 가지 사항입니다.
귀하의 세부 정보를 찾을 수 없다고 해서 자동으로 도난당한 적이 없다는 의미는 아닙니다. 이는 Have I Been Pwned가 그들을 만난 적이 없다는 것을 의미합니다.
Have I Been Pwned는 민감한 웹사이트(예:성인용 웹사이트)에서 발생한 위반 결과를 반환하지 않습니다. 전체 데이터베이스에 액세스하려면 이메일 주소를 확인해야 합니다.
Have I Been Pwned에 등록하면 향후 세부 정보가 게시될 경우 이메일을 수신하도록 선택할 수 있습니다. 이것은 매우 권장됩니다.
세부정보가 유출된 경우 대처 방법
세부 정보가 발견되면 여러 단계를 거쳐야 합니다.
- 비밀번호를 찾으면 비밀번호를 사용하는 웹사이트를 방문하여 즉시 변경해야 합니다.
- 영향을 받는 계정이 귀하에게 중요한 경우 해당 계정에 액세스했다는 증거를 찾아야 합니다.
- 이메일 주소가 영향을 받는 경우 연결된 서비스의 비밀번호도 변경해야 합니다.
- 앞으로는 이 비밀번호를 사용하지 마십시오.
지금 계정을 보호하세요
데이터 침해는 빈번하게 발생하며 규모에 관계없이 모든 웹사이트에서 발생할 수 있습니다. 영향을 받았을 수 있다고 생각되시면 Have I Been Pwned가 정보를 찾을 수 있는 최고이자 유일한 리소스일 것입니다.
귀하의 세부정보가 이미 도용되었는지 여부에 관계없이 데이터 침해로부터 보호하는 기본 방법은 여러 계정에서 동일한 비밀번호를 사용하지 않는 것입니다. 이렇게 하면 귀하의 세부 정보가 도난당한 경우 하나의 계정만 영향을 받습니다.