구글이 유출된 사용자명과 패스워드를 조회할 수 있는 크롬 브라우저 확장기능 ‘패스워드 체크업’(Password Checkup)을 선보입니다.
구글은 5일(현지시간) 크롬 웹스토어를 통해 크롬 확장기능이 있는 패스워드 체크업을 배포한다고 밝혔습니다.
해당 프로그램은 크롬 브라우저 사용자가 과거 온라인 데이터 유출 사건이나 보안 사고로 유출된 적이 있는 사용자명과 패스워드 조합을 쓰고 있는지 확인할 수 있게 해줍니다. 사용자가 온라인 서비스에 로그인 할 때마다 자동 실행되는 기능입니다.
구글은 패스워드 체크업 개발을 위해 지난 몇 년 동안 보안 사고로 공개된 유출 계정 정보 40억 건 이상을 수집해 데이터베이스(DB)를 구축했습니다.
만약 사용자가 입력한 계정 정보가 과거 유출된 사용자명과 패스워드 조합과 일치하게 되면 패스워드 체크업은 사용자에게 경고 메시지를 팝업 형태로 알려줍니다.
특히 유출 계정 DB와의 일치 여부 확인 시 사용자명과 패스워드 각각이 아닌 조합만을 알려줘 DB를 악용할 수 없게 만들었습니다.
예컨대 ‘123456’의 패스워드를 사용할 경우 바로 경고를 보여주는 것이 아닌 패스워드를 입력한 계정이 과거 데이터 유출 사고로 온라인에 해당 패스워드와 함께 노출된 적이 있을 경우 경고 팝업 창이 띄워지는 식입니다.
이밖에 구글은 ‘크리덴셜 스터핑’(Credential Stuffing) 공격을 방어하고자 패스워드 체크업을 개발했다고 설명했습니다.
크리덴셜은 사용자가 본인을 증명하는 수단을 의미하는 것으로 로그인 계정과 비밀번호, 이메일, 기타 개인정보 등을 말합니다. 크리덴셜 스터핑은 이미 확보한 계정과 비밀번호를 무차별 대입(Stuffing)해 로그인 후 사용자 정보를 추가로 유출하는 공격 방식입니다. 즉 과거 유출된 것과 동일한 계정 정보를 여전히 쓰는 사용자를 대상으로 한 해킹 공격입니다.
구글 측은 “우리는 구글 서비스 사용자는 물론 여러 웹 사용자들을 안전하게 돕기 위해 해당 프로그램을 개발했다”며 “앞으로도 사이트 호환성을 비롯해 추가 업그레이드 버전을 꾸준히 선보일 계획”이라고 밝혔습니다.
