HiBP 과연 안전할까? 개인정보 유출 검색 사이트 Have I Been Pwned

 

 

HiBP 과연 안전할까? 개인정보 유출 검색 사이트 Have I Been Pwned

기술이 발전하고 디지털화가 생활 깊숙히 파고들면서 데이터 유출 사고도 덩달아 급증하게 되다보니 많은 사람들이 자신의 개인정보가 안전한지 불안해하고 있습니다. 이러한 상황에서 해외에서는 유명한 개인정보 유출 검색 서비스인 "Have I Been Pwned" (약칭 HIBP)는 개인정보 유출 여부를 확인할 수 있는 매우 유용한 도구로 자리 잡고 있습니다. 

 

하지만 우리들에겐 다소 생소하기도 합니다. 최근 유명 유튜버의 추천 영상이 나오면서 또다시 관심이 커지고 있지만 이 사이트에 대해 우려하는 분들도 많은듯해  이 사이트가 어떤 존재인지 조사 해봤습니다. 정말 믿을수 있는지 ....

 

HIBP란 무엇인가?

"Have I Been Pwned"는 데이터 침해 및 계정 해킹 여부를 확인할 수 있는 웹사이트입니다. 사용자가 자신의 이메일 주소나 사용자 이름을 입력하면, HIBP는 자체 데이터베이스와 대조하여 일치하는 기록이 있는지 확인합니다. 이 사이트는 2013년에 호주 보안 전문가 Troy Hunt에 의해 설립되었습니다. ( 그가 과거에 Microsoft의 지역 이사였다는 이야기도 있습니다. 이 부분은 공식적인 자료로 확인하진 못했습니다.) 현재는 독립적인 보안 관련 전문가로 활동하고 있습니다.  그의 사이트 운영 목표는 이 사이트가 데이터 유출 사고에 대한 사람들의 인식을 높이고, 개인이 자신의 계정이 유출되었는지를 보다 쉽고 빠르게 확인할 수 있도록 돕는 것이라고 밝히고 있습니다.

 

 

HIBP 사이트 개설 과정과 매각 추진 그리고 매각 취소,  현재까지의 역사.

천만장자의 인생 포기한 트로이 헌트

 

2013년 10월 Adobe Systems의 1억 5,500만 개에 달하는 대규모 개인정보 유출 사고를 접한 Troy Hunt는 사용자들에게 경각심을 심어주고 더 많은 피해 확산을 막기 위해 홀로 개인정보 유출 검증 사이트 개발에 뛰어들었다고 합니다.  2달 후인 2013년 12월 그는  HIBP라는  개인정보 침해 확인 사이트를 완성시켜서 공개합니다. 헌트 혼자서운영하는 HIBP 사이트는 2015년 Adobe의 개인정보 100만 명 추가 유출, Forbes, Yahoo, Gmail, Vodafone, Sony, Dropbox 등 유명 기업이나 기관 사이트의 유출 등  해킹된 유출 데이터들을 사이트의 유출 검증 프로그램에 업데이트하며 더 많은 유출 검증 데이터 베이스를 가지게 되면서 검사의 신회성과  명성을 쌓았습니다. HIBP에는 현재 431개 사이트에서 유출된 95억 4,300만 개 이상의 계정의  유출 여부를 확인 할수 있는 검색 서비스를 완전 무료로 제공 하고 있습니다.

 

HIBP를 운영을 시작한 이후 방문자 수가 엄청난 속도로 급증하면서 업무 부담이 계속해서 늘어났다고 합니다. 혼자서 운영에 어려움을 겪던 그는 결국 2020년 6월 자신의 블로그에 "한 사람이 시간이 될 때마다 일을 하는 수준을 넘어 풍부한 자원과 자금 그리고 더 많은 인력을 갖춘 조직으로 마이그레이션할 때"라는 의미 심장한 글을 올리면서  사이트  매각 의사를 밝혔습니다. 그는 사이트 매각을 '프로젝트 스발바르(Svalbard)'로 명명하고 국제 회계법 KPMG을 매각 주관사로 선정하게 되었는데 이 인수를 신청에 참가한 업체는 무려 141개사에 달했으며, 조건에 부합하는 업체 43곳을 추려 심층 면담을 진행했고 최종 업체 선정만 남았지만 헌트는 돌연 매각을 취소하게 됩니다.

 

매각을 취소하게 된 이유는 한 IT 기업과의 면담에서 비롯되었습니다. 그 기업이 사이트를 인수하게 될 경우 헌트의 상사가 될지도 모르는 인수 기업의 관계자가 면담에서  "당신 사무실에서의 완벽한 하루가 어떤 것인지 설명해줄 수 있겠냐"는 질문을 던졌는데 헌트는 "매우 합리적인 질문이었지만 내게는 무척 불편한 질문이었다"고 회고하며 대부분 조직에 소속된 기업문화가 자신에게 맞지 않고 독립적으로 일할 수 있는 사이트 운영이 자신에게 더 잘 맞다는 결론에 이르렀다고 합니다. 질문을 받은 이튿날에는 사이트 이용자들로부터 감사 편지를 받았는데 그 편지를 읽은 그는  HIBP 의 존재 이유에는  사이트 이용자들의 깊은 신뢰가 얼마나 중요한 것인지 실감했다고 합니다. 이런 일들을 겪으면서 결국 그는 HIBP를 당분간 1인 기업으로 계속 운영할 결심을 굳혔다고 합니다.. 배부른 돼지보다 배고픈 소크라테스를 선택한 헌트는 매각 진행에 대한 상당한 비용 처리와 후유증으로 잠시 휴식을 취한 뒤 HIBP 사이트 운영에 복귀했으며 현재까지 사이트는 변함 없이 계속  헌트 본인의 전적인 관리 아래 운영하고 있습니다.

 

HIBP의 신뢰성과 프라이버시 보호 수준은?

2013년 사이트 운영을 시작한 이후 부터 지금까지 HIBP는 보안 커뮤니티와 일반 사용자들 사이에서 높은 신뢰를 받고 있습니다. Troy Hunt의 명성 및 투명한 사이트 운영 방식이 이 사이트레 관한 높은 신뢰 형성에 큰 기여를 하고 있습니다. 해당 사이트 자체에는 어떠한 악성코드나 편법적 쿠키 수집 및 이용 등은 없는 것으로 판단됩니다. 

 

HIBP는 사용자가 입력한 이메일 주소를 검색하는 동안 데이터가 안전하게 처리되도록 최선을 다하고 있다고강조하면서, 사용자들이 검색 과정에서 입력한 이메일 주소는 모두 암호화되어 처리되며, 검색 기록은 별도로 저장되지 않는다고 밝혔습니다. 그러나 일부 사용자들의 우려 처럼 이 사이트의 프라이버시 이용 약관을 보면 검색 기록 자체는 해킹 여부 판별을 위한 비교 데이터 업그레이드를 위해  별도로 수집 될 수 있는 여지를 충분히 가지고 있는 것으로 보입니다.

 

 

Facebook 데이터 유출 사건 : 수집된 5억명 개인정보 데이터 베이스의 유포

2021년에 발생한 Facebook 데이터 유출 사건은 전세계인들에게 큰 충격을 주었습니다. 당시 한 해커가 해킹 온라인 계시판을 통해  무려 5억명 ( 533,313,128명 )의 Facebook 사용자 개인 정보를 공개했고, 여기에는 전 세계 106개 국가이 사용자  휴대폰 번호, 이름, 성별, 위치, 관계 상태, 직업, 생년월일, 이메일 주소 등이 포함 되어 있었습니다.

 

이 데이터는 원래 Facebook의 '친구 추가' 기능의 버그를 사용하여 2019년에 수집된 후 비공개로 시중에 판매되었습니다. Facebook은 이 취약점을 발견한 직후 이를 수정했지만, 해커들은 이미 탈취한  데이터를 계속 유료로 유포하다가 2021년에 갑자기 무료로 해커 온라인 게시판에 전체 데이터 베이스를 공개하면서 세상에 알려진 사건입니다.

 

HIBP는  Facebook 유출 데이터를 적극활용하면서 검증 신뢰도를 높임.

Troy Hunt는 Facebook 회원의 데이터가 유출되었는지 확인할 수 있도록 자신의 HIBP 데이터 유출 알림 서비스 사이트에에 페이스북의 유출된 데이터를 업로드 시켰고, 사용자는 이 HIBP 사이트를 통해 자신의 이메일 주소가 유출되었는지 교차 검증으로 확인할 수 있게 되었습니다. 검색 필드에 이메일 주소를 입력하고 'pwned?' 버튼을 클릭하면, 해당 이메일이 노출된 모든 데이터 침해 목록이 표시됩니다.

 

사이트 부가기능 

HIBP는 Pwned Passwords라는 서비스도 제공하여, 사용자가 입력한 비밀번호가 유출된 적이 있는지 확인할 수 있도록 합니다. 이는 해시된 비밀번호 데이터를 사용하여 개인정보 유출을 최소화합니다. 또한, HIBP는 사용자들에게 보안에 대한 이해를 높이기 위해 다양한 교육 자료와 블로그 포스트를 제공하고 있습니다.

 

구상중인 서비스 : 전화번호 활용한 검색 기능 

 

Facebook 유출에서 가장 일반적인 사용자 식별 필드는 전화번호입니다. 하지만 5억 3,300만 명의 Facebook 회원 기록 중 250만개 만이 이메일 주소를 포함하고 있었습니다. 이로 인해 이메일 주소로 개인정보 유출을 검색했을 때 HIBP가 유출 피해 없음으로 잘못된 결과 값을 반환할 가능성이 큽니다.  그렇기에 만일 이메일 주소로 검색시 유출 흔적이 없더라도 전화 번호로 되어있는 유출정보들은 여전히 유출되었을 가능성이 남아있기 때문에 Troy Hunt는 그런 경우에 속하는 사용자들이 전화번호를 입력하여 Facebook 유출에 노출되었는지 재차 확인할 수 있는 방법을 찾고 있다고 밝혔습니다. 

 

 

현대 사회에서 디지털 개인정보는 인터넷 안에서 본인을 증명하는 하나의 증명서와도 같습니다. 그렇기에 무엇보다도  안전하게 지키는 것은 매우 중요한 일입니다. 

앞서 말했듯 이 사이트를 매각해  천만장자가 될수 있었지만 사용자들의 신뢰를 바탕으로 디지털 세상에 선한 영향력을 펼치고자한 그의 행동에서 큰 신뢰감을 가질수 있다고 생각됩니다.  그리고 해외 언론이나 전문가들의 평가에서도 "Have I Been Pwned"는 데이터 유출 사고에 대한 대응 및 예방 차원에서 매우 유용한 도구로 평가받고 있으며, 사용자들이 자신의 보안을 강화하는 데 큰 도움을 주고 있습니다.  Facebook 데이터 유출 사건처럼 대규모 유출 사고가 발생했을 때, HIBP는 사용자들이 신속하게 자신의 개인정보 상태를 확인하고 필요한 조치를 취할 수 있도록 돕고 있습니다.  (해외 여러 국가에서 이 사이트를 적극 추천 했다는 말도 있는데 그런 정보는 찾지 못했습니다. 단지 유력 언론사에서 소개된건 맞습니다.  그리고 대중에게 인지도가 있는 사이트이기도 합니다. 하지만 정부차원에서 이 사이트를 적극 이용하라고 권고한 자료는 찾지 못했습니다. 아시는 분은 댓글좀 남겨주세요.)

 

운영자는 선한 화이트 해커로 분류 되는 인물이기도 하며 10년 이상  사이트가 운영되면서 안전성이 검증되었기에 상당히 신뢰 할수 있는 사이트로 분류되고 있으니 안심하셔도 될것 같습니다. 

 

지금 바로 HIBP를 방문하여 자신의 이메일 주소가 안전한지 확인해 보세요. 데이터 유출 사고에 대비하는 첫걸음이 될 것입니다.

 

PS. 이전 동일한 글이 있음에도 글을 재발행 합니다.  일부 검색 포털에서 글이 색이 되지 않는 오류가 발생해서 부득이하게 동일한 글을 좀더 다듬어 재발행합니다. 혼란 없으시길 바랍니다.