[IT큐레이션] 거실에 누워 넷플릭스만 봤는데 전재산 삭제됐다?

우리가 소파에 앉아 넷플릭스와 디즈니+를 즐기는 사이 거실의 평화를 위협하는 그림자가 드리우고 있다. 최근 넷플릭스 563만 건, 디즈니+ 68만 건을 포함한 전 세계 OTT 계정 정보 약 703만 건이 지난해 유출되었다는 보안 기업의 보고서가 공개되면서 개인정보 보호에 적신호가 켜졌기 때문이다. 

기업들은 플랫폼 해킹이 아닌 사용자 기기 감염 및 피싱이 원인이라며 선을 긋고 있지만 과거부터 반복된 개인정보 관련 논란으로 미루어 볼 때 플랫폼의 책임론 또한 거세게 제기되고 있다. 단순한 계정 도용을 넘어 금융 사기, 명의 도용 등 심각한 2차 피해로 이어질 수 있어 논란이 커지고 있다.

"서버는 안전했다"…해킹 책임 떠넘기기 급급한 플랫폼
7일 업계 등에 따르면 글로벌 보안 기업 카스퍼스키가 발표한 보고서는 충격적이다. 넷플릭스, 디즈니+, 아마존 프라임 비디오 등을 포함한 주요 OTT 플랫폼에서 지난해에만 약 703만 건의 계정 정보가 유출된 정황이 포착됐기 때문이다. 

넷플릭스가 563만 건으로 압도적인 비중을 차지했으며 디즈니플러스 68만여 건, 아마존 프라임 비디오도 1600여 건이 포함됐다. 국가별로는 브라질, 멕시코, 인도 순으로 피해가 컸고, 한국은 7번째로 계정 유출 건수가 많은 국가로 분류돼 심각성을 더했다.

문제의 핵심은 유출 경로다. 카스퍼스키는 이번 사건이 OTT 서버에 대한 직접적인 공격이 아닌, 사용자의 스마트폰이나 PC가 악성코드에 감염되거나 교묘한 피싱 사기에 넘어가면서 계정 정보가 탈취된 것으로 분석했다. 

기업 입장에서 책임을 회피할 좋은 명분이 된다. 하지만 전문가들은 이를 '사용자만의 탓'으로 돌리는 것은 문제의 본질을 외면하는 것이라고 지적한다.

실제로 OTT 계정 해킹은 이번이 처음이 아니다. 2020년 넷플릭스 계정 7만여 건이 다크웹에 유출된 바 있으며, 디즈니+ 역시 2019년 서비스 출시 직후 수천 개의 계정이 해킹돼 다크웹에서 거래되는 등 홍역을 치렀다. 당시 서비스 초반 이중 인증(MFA)과 같은 강력한 보안 장치가 미흡했다는 점이 피해를 키운 원인으로 꼽혔다.

다만 넷플릭스는 "회원들의 개인 정보를 안전하게 보호하는 것은 넷플릭스의 중요한 우선순위"라며 "넷플릭스는 비정상적인 계정 활동으로부터 회원들의 정보를 보호하기 위해 선제적으로 대응하고 있다"고 강조했다.

OTT 계정 유출, '영화 공짜 시청' 넘어 '전 재산' 노린다

유출된 OTT 계정 정보는 단순히 콘텐츠를 무단으로 시청하는 수준의 피해에 그치지 않는다. 카스퍼스키는 기기가 악성코드에 한 번 감염되면 공격자는 계정 정보 외에도 쿠키, 신용카드 정보, 기타 민감 데이터를 함께 수집하게 된다고 경고한다.

실제로 해커들은 이렇게 탈취한 아이디와 비밀번호를 다른 웹사이트에 무차별적으로 대입하는 '크리덴셜 스터핑(Credential Stuffing)' 공격을 감행한다. 

만약 여러 사이트에서 동일한 계정 정보를 사용하고 있다면, 쇼핑몰, SNS는 물론 인터넷 뱅킹 계좌까지 연쇄적으로 털릴 수 있는 것이다. 700만 건의 OTT 계정 유출은 해커들에게 700만 개의 '만능 열쇠'를 쥐여준 셈이다.

다만 사용자가 속수무책으로 당하고만 있어야 하는 것은 아니다. 몇 가지 핵심 보안 수칙을 생활화하는 것만으로도 대부분의 위협을 막을 수 있다.

가장 중요한 것은 '강력하고 고유한 비밀번호' 설정과 '다중 인증(MFA)' 활성화다. 각 서비스마다 다른 비밀번호를 설정하고, 다중 인증을 통해 비밀번호가 유출되더라도 추가 인증 없이는 로그인이 불가능하도록 방어벽을 쳐야 한다. 여기에 '요금 결제 실패', '계정 확인 필요' 등의 문구로 유인하는 이메일이나 문자 메시지는 피싱일 가능성이 높으므로 절대 링크를 클릭해서는 안 된다. 

앱은 반드시 공식 스토어를 통해 설치하고, 특히 영상 파일로 위장한 '.exe'나 '.msi' 같은 실행 파일은 절대 다운로드해서는 안 된다.

자신의 정보가 이미 유출되었는지 확인하는 것도 중요하다. 개인정보위가 운영하는 '털린 내 정보 찾기 서비스'(kidc.eprivacy.go.kr)에 접속해 사용 중인 이메일이나 계정 정보의 유출 여부를 주기적으로 점검하는 습관이 필요하다. 만약 피해가 확인되면 즉시 해당 계정은 물론, 동일한 정보를 쓰는 모든 서비스의 비밀번호를 변경하고 카드사나 은행에 연락해 조치를 취해야 한다.

이효은 카스퍼스키 한국지사장은 "한국은 전 세계적으로 스트리밍 서비스 도입률이 높은 국가 중 하나로, 젊은 세대가 디지털 콘텐츠에 의존하면서 사이버 보안 위협도 심화되고 있다"고 진단했다. 이어 "사용자들은 비공식 출처의 악성코드와 피싱 공격에 각별한 주의를 기울여야 한다"면서 "신뢰할 수 있는 보안 솔루션을 사용해 기기를 보호하고, 정기적인 비밀번호 변경과 공식 채널만 이용하는 습관을 적극 권장한다"고 당부했다.