13만명 해킹에 떠는 네티즌들..“알패스 전체 삭제 기능 필요해요”

[이데일리 김현아 기자] 최근 국내 유명 유틸리티 소프트웨어 사이트인 알툴즈(ALTools) 인터넷 사이트에서 발생한 해킹 사고로 13만 고객 정보가 유출된 가운데, 네티즌들은 알툴즈 사이트 해킹 자체보다는 ‘알패스’의 여러 인터넷사이트 로그인 기능을 더 우려하고 있다.

알패스는 네이버, 다음, 구글 등 수많은 웹사이트에 등록된 ID와 패스워드를 직접 입력할 필요 없이 클릭 한 번으로 간단하게 로그인할 수 있는 기능을 제공한다. 웹사이트 접속 시, 알패스가 웹 브라우저의 현재 주소(URL)를 자동으로 감지해 ID와 패스워드를 자동으로 입력해 주는 것이다.

알패스 시연화면(출처: 코드네임 제로 블로그)

이번 알툴즈 해킹 사건이 발생하면서 운영회사인 이스트소프트 측은 네티즌들에게 어제(9일)▲알툴즈 회원 비밀번호를 변경하고 ▲로그인 조치가 강화된 최신 버전의 알패스 기능을 사용하라고 밝혔다. 또 ▲로그인 보안이 강화된 최신 버전의 알툴바와 스윙브라우저를 무료로 제공한다고 했다.

하지만 이런 대응만으로는 고객들의 불안을 잠재울 수 없으니, 계정을 해킹당하지 않은 사람이라도 알패스를 초기화할 수 있는 전체 삭제 기능을 제공해야 한다는 주장이 제기됐다.

인터넷에서 ‘디지털 장의사’ 사업을 준비 중인 이덕영 씨(코드네임제로)는 10일 이데일리와의 통화에서 “저는 알패스로 304개 인터넷 사이트 로그인을 이용하는데 다행스럽게도 제 계정은 해킹당하지 않았지만 알패스에서 이용하던 304개 리스트를 지우고 싶다”며 “하지만 (이스트소프트 측은) 전체 삭제 기능을 제공하지 않고 있다”고 말했다.

알패스에선 지금도 비밀번호를 재발급받으면 보관된 알패스 데이터가 전부 초기화되도록 하고 있다. 이번 해킹 사건으로 계정을 도용당한 네티즌이 비밀번호를 변경하면 해당 네티즌의 이전 데이터는 모두 삭제되는 것이다.

그런데 해킹 당한 13만 명 외에 불안을 느끼는 다른 고객이 알패스 데이터를 초기화하고 싶다면 혼란을 느낄 수 밖에 없다.

이 씨는 “제가 알패스에서 304개 리스트를 지우려면 일일이 수동으로 할 수밖에 없다”며 “알패스의 초기화 버튼은 세팅 값 초기화가 아니라 기존 데이터를 싹 지우는 의미가 돼야 혼란을 줄일 수 있다. 이스트소프트는 알패스 초기화 기능이 정상작동될 수 있도록 빨리 수정해야 한다”고 말했다.

이번에 발생한 13만 명 알툴즈 계정 해킹 사건이 업계에 충격을 주는 것은 해당 회사가 ‘알약’ 백신을 제공하는 보안 회사이기 때문이다.

보안 전문가에 따르면 이번 해킹은 해커가 홈페이지 인터넷주소(URL)에 노출되는 인덱스 값(고유번호) 변경 시 인증단계를 거치지 않는 취약점을 이용해 타인의 개인정보를 탈취한 경우에 해당한다. 2012, 2014년 KT에서 발생한 사건과 유사하다.

이덕영 씨는 “당시 KT에서 발생한 1200만 명 유출에 비해 알툴즈 13만 명 해킹은 숫자가 적어 덜 주목받지만, 알약을 만드는 보안업체가 해킹당했다는 사실이 황당하다”며 “공무원들 중에서도 알패스 기능을 쓰는 사람이 많을 것이다. 국가망의 또 한 번의 방화벽이 있지만 공무원들은 알패스를 못쓰게 해야 하는 것 아닌가 하는 생각도 든다”고 말했다.

이 씨는 동아닷컴 개인정보관리자로 일하면서 사이버 범죄 수사를 도운 인연으로 서울지방경찰청 서대문경찰서 명예경찰(누리캅스위원)로도 활동한 바 있다.

한편 이스트소프트 측은 기사가 나간 뒤 메일을 보내 “알패스에 등록된 사이트는 알패스 내 목록 전체 선택 기능을 통해 일괄 삭제가 가능하지만, 기능이 명확히 보여지지 않아 사용자 혼돈을 불러일으킬 수 있어 현재 공지를 통해 관련 부분에 대한 사용자 안내를 준비하고 있다. 추후 업데이트를 통해 관련 기능을 ‘버튼’ 등으로 제공하는 방안도 모색하고 있다”고 밝혔다.