이메일 유출 여부 확인 방법

데이터 보안 사고는 인터넷에서 이메일 주소가 유출되는 가장 흔한 경로입니다. 유출된 정보는 온라인 포럼, 다크 웹 및 기타 공개 공간에 게시될 수 있습니다. 2022년 IBM 보고서(새 창)에 따르면 보안 사고를 식별하고 수습하는 데 평균 277일이 소요됩니다. 즉, 공격자가 귀하의 개인 정보를 보유하고 있다는 사실을 인지하기까지 9개월이 걸릴 수도 있다는 뜻입니다. 이는 귀하의 온라인 개인정보 보호와 보안에 심각한 위협이 됩니다.

이메일 유출의 영향을 제한하는 유일한 방법은 개인 정보가 유출되었는지 정기적으로 확인하는 것입니다. 이 글에서는 이메일 유출 여부를 확인하는 방법과 이에 대한 조치 방법을 보기 좋게 설명해 드립니다.

• 이메일이 유출되면 어떤 일이 발생하나요? 
• 이메일 유출 확인 방법
• 이메일 유출로부터 자신을 보호하는 방법
• 보안 이메일 제공 업체 선택하기

이메일이 유출되면 어떤 일이 발생하나요?

데이터 보안 사고로 노출된 개인 정보는 수시로 다크 웹에 나타나며 피해자에게 수많은 문제를 야기합니다. 사이버 범죄자가 귀하의 이메일과 비밀번호를 탈취했을 때 발생할 수 있는 일은 다음과 같습니다.

스팸 및 피싱 이메일 증가

이메일 유출의 가장 큰 징후 중 하나는 받은 편지함에 스팸 및 피싱 이메일이 급증하는 것입니다. 대부분의 스팸 이메일은 단순히 짜증을 유발하는 수준이지만 피싱 이메일은 더 위험합니다. 피싱 사기꾼은 신용카드 회사나 의료 서비스 제공자와 같은 정당한 보낸 사람으로 위장하여 귀하가 개인 정보를 누설하도록 유도합니다.

또 다른 일반적인 수법은 정보를 유출한 서비스로 위장하는 것입니다. 예를 들어, 2022년 말 Twitter에서 2억 개 이상의 이메일이 유출(새 창)되었으며, 공격자는 해당 서비스에서 보낸 정당한 이메일처럼 보이게 만드는 데 필요한 모든 정보를 매우 쉽게 포함할 수 있습니다. 여기에서 인증된 계정을 보유한 Twitter 사용자를 노리는 ‘스피어 피싱’ 공격의 예를 확인할 수 있습니다.

https://twitter.com/zackwhittaker/status/1587188619000922112?s=20

다행히도 약간의 상식만 있다면 피싱 사기로부터 자신을 보호할 수 있습니다. 어색한 문구가 있는지 유의하고, 메시지를 보낸 사람의 이메일 주소를 자세히 조사하며, 다른 채널을 통해 해당 이메일이 정당한지 확인하시기 바랍니다.

이메일이 피싱 시도로 의심되는 경우, 링크나 첨부 파일을 열지 말고 즉시 귀하의 이메일 제공 업체에 신고하세요.

계정 탈취 공격

데이터 보안 사고로 이메일 비밀번호까지 유출된 경우, 해커는 계정 탈취 공격을 통해 귀하의 이메일 계정을 장악할 수 있습니다. 종종 그들은 받은 편지함의 정보를 사용하여 온라인 뱅킹이나 소셜 미디어 계정과 같이 더 민감한 다른 계정에 접근합니다. 귀하의 이메일을 사용하여 협박하거나 계정 접근 권한을 되찾아주는 대가로 랜섬을 지불하도록 강요할 수도 있습니다.

신원 도용

이메일 유출의 또 다른 가능한 결과는 신원 도용입니다. 신원 도용은 해커가 귀하의 개인 정보를 남용하여 다른 사람이나 조직이 귀하인 것처럼 속일 때 발생합니다. 그들은 다음과 같은 행위를 할 수 있습니다.

• 귀하의 명의로 새로운 서비스 가입 및 계약 체결
• 귀하의 세부사항을 사용하여 새로운 신용카드, 대출 및 은행 계정 신청
• 사기 구매 수행
• 귀하라고 주장하며 친구나 가족에게 금전 요구
• 귀하의 세부사항을 사용하여 범죄 저지르기

신원 도용은 파괴적인 결과를 초래합니다. 귀하의 경력과 평판에 심각한 손상을 입힐 수 있으며 전과가 남을 수도 있습니다.

이메일 유출 확인 방법

데이터 보안 사고가 얼마나 흔한지 고려할 때, 이메일이 유출된 징후를 정기적으로 모니터링하는 것이 매우 중요합니다. 이를 수행하는 좋은 방법은 웹 보안 컨설턴트인 Troy Hunt가 개인 정보 유출 여부 확인을 돕기 위해 만든 웹사이트인 Have I Been Pwned (HIBP) 데이터베이스(새 창)에서 귀하의 이메일 주소를 검색하는 것입니다. HIBP를 통해 이메일 주소, 전화번호 및 비밀번호를 검색할 수 있습니다.

귀하의 이메일 주소 또는 전화번호를 검색하려면:

1. Have I Been Pwned 웹사이트(새 창)로 이동합니다.
2. 검색창에 이메일 주소 또는 전화번호를 입력하고 pwned?를 클릭합니다.

귀하의 비밀번호를 검색하려면:

1. Have I Been Pwned 웹사이트(새 창)로 이동합니다.

3. 상단 탐색 메뉴에 있는 passwords를 클릭합니다.
4. 검색창에 비밀번호를 입력하고 pwned?를 클릭합니다.

결과 해석 방법

이메일 주소와 전화번호가 유출되지 않았다면 다음 메시지가 표시됩니다.

반대로 정보가 유출된 것을 발견했다면 대신 다음 메시지가 표시됩니다.

이메일 유출 피해를 입었다는 사실을 알게 되었다면, 즉시 자신을 보호하기 위해 다음 단계를 수행하십시오.

이메일 유출로부터 자신을 보호하는 방법

비밀번호 변경

이메일이 유출되었다는 사실을 발견한 후 가장 먼저 해야 할 일은 영향을 받은 계정의 비밀번호를 변경하는 것입니다. 이는 귀하가 모든 계정에 강력하고 고유한 비밀번호를 사용했다고 가정한 경우입니다. 만약 여러 계정에 동일한 비밀번호를 사용했고 그중 하나가 유출되었거나 영향을 받았다면, 해당 비밀번호를 사용한 모든 곳에서 비밀번호를 변경해야 합니다. 이는 비밀번호를 재사용해서는 안 되는 또 다른 이유입니다. 재사용은 보안 사고로부터의 복구를 더 어렵게 만듭니다.

여러 개의 강력하고 고유한 비밀번호를 더 쉽게 기억할 수 있도록 오픈 소스 비밀번호 관리자 사용을 권장합니다.

비밀번호 관리자는 각 온라인 계정에 대해 복잡한 비밀번호를 자동으로 생성하고 저장하여 해커가 이를 해킹하기 어렵게 만듭니다. 귀하는 비밀번호 관리자에 로그인할 수 있게 해주는 마스터 비밀번호 하나만 기억하면 됩니다.

2단계 인증 활성화

온라인 계정의 이메일 주소와 비밀번호를 변경할 때, 가능한 경우 항상 2단계 인증(2FA)을 활성화해야 합니다. 2단계 인증을 사용하면 로그인할 때 비밀번호 외에 추가 인증을 요구함으로써 승인되지 않은 접근으로부터 계정을 보호할 수 있습니다. 이는 일반적으로 보안 키나 모바일 기기와 같이 귀하가 소유한 것이거나, 안면 인식 또는 지문과 같은 귀하의 생체 정보입니다.

2FA 키 또는 하드웨어 키로도 알려진 보안 키(예: YubiKeys(새 창))는 가장 안전한 형태의 2단계 인증 중 하나입니다. 모바일 기기에 설치된 인증 앱에서 생성되는 일회용 코드와 달리, 보안 키는 스푸핑될 수 없고 시간 제한이 없으며 모바일 기기에 대한 접근이 필요하지 않습니다. USB 키 형태이므로 열쇠고리에 이러한 보안 키를 쉽게 추가하여 어디든 가지고 다닐 수 있습니다. 아쉽게도 모든 서비스가 보안 키를 지원하는 것은 아닙니다.

연락처에 알리기

귀하의 이메일 주소를 사용하거나 사용하는 것처럼 보이는 피싱 시도에 지인들이 속지 않도록, 귀하로부터 발송된 것처럼 보이는 이상한 이메일을 받을 수 있음을 연락처에 알려야 합니다.

유출이 발생하기 전에 이메일 계정에서 2단계 인증을 활성화했고 해커가 귀하의 인증 앱이나 보안 키에 접근하지 못했다고 확신한다면, 이 단계를 건너뛰어도 됩니다.

은행 및 신용카드 명세서 면밀히 검토

또한 은행 및 신용카드 명세서를 살펴보고 인지하지 못한 결제, 거액 구매 또는 청구서 주소 변경과 같은 비정상적인 활동이 있는지 확인해야 합니다. 때때로 범죄자들은 더 큰 거래를 시도하기 전에 1달러 또는 2달러의 소액 “테스트 결제”를 하기도 합니다.

의심스러운 활동을 발견하면 즉시 해당 은행이나 신용카드사에 신고하십시오. 일반적으로 은행이나 신용카드사는 기존 계좌나 카드를 해지하고 새로운 은행 계좌나 신용카드를 발급해 줄 것입니다.

이메일 별칭 사용

이메일 별칭 사용은 특히 이메일 유출 이후에 온라인 개인정보를 보호하는 데 유용한 전략입니다. 이메일 별칭을 사용하면 기본 이메일 주소를 비공개로 유지하고 온라인에 노출되는 개인정보의 양을 제한할 수 있습니다. 이메일 별칭은 두 가지 방법으로 생성할 수 있습니다.

• 플러스(+) 기호 추가: 사용자 이름에 “+something”을 추가합니다. 예를 들어, 이메일 주소가 bobsmith@proton.me인 경우 이메일 별칭은 bobsmith+finances@proton.me가 될 수 있습니다. 이를 이메일 서브어드레싱이라고 합니다. 
• 다른 사용자 이름으로 새 이메일 별칭 생성: 서로 다른 온라인 계정에 대해 완전히 새로운 이메일 별칭을 생성할 수 있습니다.

참고: 모든 이메일 제공 업체가 이러한 기능을 지원하는 것은 아닙니다. Proton Mail은 지원하며, +별칭도 무료로 제공합니다.

편리하고 실용적이지만, 공격자가 귀하의 이메일 서브어드레스에서 실제 이메일 주소를 쉽게 추출하여 스팸 캠페인에 사용할 수 있습니다. 이메일 서브어드레스를 사용해야 한다면 실제 이름이 포함되지 않도록 주의하십시오.

고유한 이메일 별칭 자동 생성

새 이메일 별칭을 만드는 더 좋은 방법은 개별적으로 설정하는 것입니다. 하지만 매일 사용하는 온라인 계정의 수를 고려할 때, 모든 계정에 대해 수동으로 새 이메일 별칭을 생성하는 것은 불가능합니다. 또한 그렇게 많은 받은 편지함을 정리하고 관리하는 것은 운영상 매우 어려운 일이 될 것입니다.

이러한 주소를 생성하기 위해 SimpleLogin by Proton(새 창)과 같은 오픈 소스 이메일 별칭 서비스를 사용하는 것을 권장합니다. SimpleLogin은 온라인 계정에 가입할 때마다 익명 이메일 주소를 제공하는 브라우저 확장, 웹 앱 및 모바일 앱입니다. 별칭으로 전송된 이메일은 즉시 귀하의 받은 편지함으로 전달됩니다.

SimpleLogin을 사용하면 자신만의 사용자 지정 별칭을 만들거나 소프트웨어가 무작위 별칭을 자동으로 생성하도록 할 수 있습니다. 더 이상 별칭을 사용하고 싶지 않다면 간단히 삭제할 수 있습니다.

의심스러운 링크와 첨부 파일을 열지 마십시오

공격자들은 종종 피싱 이메일을 사용하여 귀하를 속여 사기 웹사이트에 개인 정보를 노출하게 하거나 컴퓨터에 멀웨어를 설치(새 창)하도록 유도합니다. 안전을 유지하려면 신뢰할 수 있는 보낸 사람이 보낸 이메일과 첨부 파일만 열고, 긴급한 조치를 요구하는 이메일(예: 즉시 돈을 보내라고 요구하는 경우)을 주의하십시오.

의심스러울 때는 공식 헬프라인에 전화하는 것과 같은 대체 방법을 통해 보낸 사람에게 연락하여 이메일을 보낸 것이 맞는지 확인하도록 요청하십시오. 피싱 이메일이 확실하다면 즉시 해당 이메일 제공 업체에 보고하십시오.

정기적으로 이메일 주소의 유출 여부를 모니터링하십시오

잠재적인 이메일 유출을 면밀히 관찰하는 것은 개인 정보와 온라인 신원을 보호하는 데 큰 도움이 될 수 있습니다. 정기적인 모니터링은 비정상적인 활동이나 보안 사고를 신속하게 감지하고 대응하는 데 도움이 됩니다.

데이터 유출로 인해 개인 세부사항이 노출된 경우, HIBP의 “Notify me” 기능을 사용하여 알림을 받을 수도 있습니다.

1. Have I Been Pwned 웹사이트(새 창)로 이동합니다
2. 상단 탐색 메뉴에 있는 Notify me를 클릭합니다
3. 이메일 주소를 입력하고 notify me of pwnage를 선택합니다

또는 HIBP의 Twitter 계정(새 창)을 팔로우하여 모든 최신 보안 사고를 추적할 수 있습니다. 1Password와 같은 프리미엄 비밀번호 관리자를 사용하는 경우 자동 유출 감지 업데이트를 설정할 수도 있습니다. 이 경우 1Password가 정기적으로 HIBP 데이터베이스를 검색하고 귀하의 로그인 세부사항이 나타나면 알림을 보냅니다.

안전한 이메일 제공 업체를 선택하십시오

이메일 제공 업체는 받은 편지함에 대한 무단 접근을 방지하는 데에도 중요한 역할을 합니다. 이메일 제공 업체는 해킹, 피싱, 멀웨어와 같은 사이버 위협으로부터 귀하의 이메일 계정을 보호하는 강력한 보안 조치를 시행할 책임이 있습니다.

세계 최대의 암호화된 이메일 제공 업체로서, Proton의 최우선 순위는 귀하의 온라인 개인정보를 보호하고 귀하가 데이터를 스스로 통제할 수 있도록 권한을 부여하는 것입니다. Proton Mail을 사용하면 다음과 같은 보안 기능을 누릴 수 있습니다.

• 종단 간 암호화: 귀하와 지정된 수신인 외에는 아무도 메시지를 읽을 수 없습니다. 
• 제로 액세스 암호화: 서버에 저장된 모든 데이터는 완전히 암호화됩니다. 해커가 당사 서버를 침입하더라도 귀하의 이메일을 읽을 수 없습니다.
• 추가 이메일 별칭: 유료 Proton Mail 요금제를 사용하면 최소 10개의 추가 이메일 별칭을 생성할 수 있습니다. 별칭으로 전송된 모든 이메일은 평소와 같이 받은 편지함으로 들어옵니다.
• 의심스러운 활동 차단: Proton Mail의 보안 시스템은 누군가 받은 편지함에 침입하려는 것과 같은 의심스러운 행동을 감지하면 계정을 일시적으로 잠급니다. 인증 코드(복구 이메일 주소 또는 전화번호로만 전송됨)로 신원을 증명하면 계정 잠금이 해제됩니다.
• 보안 로그 검토: Proton Mail 계정 설정에서 보안 로그를 검토하고 활성 세션에 대한 접근 권한을 취소할 수 있습니다. 또한 보안 로그의 각 이벤트에 대한 IP 주소를 기록하는 고급 로그를 활성화할 수도 있습니다.
• 강력한 스팸 필터: 스마트 스팸 탐지 시스템이 스팸 이메일을 자동으로 탐지하여 스팸 폴더로 보냅니다. 세밀한 제어를 위해 차단 목록에서 이메일 주소를 추가하거나 삭제할 수도 있습니다.
• 2단계 인증(2FA) 및 보안 키: 2단계 인증을 사용하여 귀하의 Proton Mail 계정을 안전하게 보호할 수 있습니다. 인증 앱에서 생성된 임시 코드와 YubiKey 및 기타 U2F/FIDO2 호환 키를 지원합니다. 
• 피싱 보호: 피싱을 방지하기 위해 특별히 설계된 고급 기능 세트인 PhishGuard를 통해 안티 피싱 보호 기능을 제공합니다.
• 사용자 지정 도메인에 대한 안티 스푸핑 조치: 사용자 지정 도메인에 대한 스푸핑 공격으로부터 귀하를 보호하기 위해 SPF, DKIM 및 DMARC를 지원합니다. 

이메일 유출을 모니터링하고, 강력한 비밀번호를 사용하며, Proton Mail에서 제공하는 보안 기능을 활용함으로써 이메일 유출 위험을 줄이고 사이버 위협으로부터 귀하의 개인 데이터를 안전하게 보호할 수 있습니다.

더 나은 개인 정보 보호 중심의 인터넷을 구축하려는 저희의 미션을 지원하고 싶으시다면, 무료 Proton Mail 계정 가입하기를 고려해 보시기 바랍니다.