안녕하세요, 계정지킴이입니다. 오늘은 제가 실제로 계정 해킹 시도를 당한 경험과 그 이후로 계정 보안을 어떻게 강화했는지 자세히 공유하려고 해요. 결론부터 말하면, 저는 트위치 계정이 해킹당할 뻔했고, 유튜브 계정은 실제로 한 번 탈취당해서 복구하는 데 2주가 걸렸습니다. 이 경험이 저를 '보안 덕후'로 만들어줬는데, 그 과정에서 쌓은 노하우를 전부 풀어볼게요. 사건은 1년 전에 일어났어요. 어느 날 아침에 일어났는데 유튜브 구독자들한테 DM이 엄청 와있더라고요. '형 채널에서 이상한 라이브 하고 있는데요'라는 메시지였어요. 확인해보니 누군가 제 유튜브 채널로 가상화폐 사기 라이브 방송을 하고 있었어요. 채널 이름도 바뀌어있고, 프로필 사진도 바뀌어있고, 기존 영상들은 전부 비공개로 바뀌어있었습니다. 너무 충격적이었어요. 나중에 원인을 분석해보니 제가 어떤 업체에서 보낸 협찬 메일을 열어봤는데, 거기에 첨부된 프로그램이 악성코드였더라고요. 그 악성코드가 브라우저에 저장된 쿠키를 탈취해서 세션 토큰으로 로그인한 거예요. 비밀번호를 직접 해킹한 게 아니라 이미 로그인된 세션을 가로챈 거라 2단계 인증도 무력화된 거였어요. 구글에 계정 복구를 요청해서 2주 만에 채널을 되찾았지만, 그 사이에 구독자 수가 줄고 채널에 경고가 쌓여서 복구 후에도 한동안 힘들었습니다. 계정 보안의 기본 중의 기본은 비밀번호 관리예요. 아직도 여러 사이트에 같은 비밀번호를 쓰는 분들이 많은데, 이건 정말 위험해요. 하나가 뚫리면 전부 뚫리거든요. 저는 해킹 사건 이후로 비밀번호 관리자를 도입했어요. Bitwarden이라는 무료 비밀번호 관리자를 사용하고 있는데, 모든 계정마다 20자 이상의 무작위 비밀번호를 생성해서 저장하고 있어요. 마스터 비밀번호 하나만 기억하면 나머지는 전부 자동 입력되니까 오히려 예전보다 편해졌어요. 비밀번호 관리자를 고를 때 몇 가지 기준을 말씀드리면, 첫째로 오픈소스인지 확인하세요. 코드가 공개되어 있으면 보안 전문가들이 검증할 수 있으니까 더 안전해요. 둘째로 영지식 암호화(Zero-Knowledge Encryption)를 지원하는지 확인하세요. 이건 서비스 제공자도 내 데이터를 볼 수 없다는 뜻이에요. 셋째로 다양한 기기에서 동기화가 가능한지 확인하세요. PC, 스마트폰, 태블릿에서 모두 사용할 수 있어야 편리하거든요. 2단계 인증(2FA)은 계정 보안에서 가장 효과적인 방법 중 하나인데, 종류에 따라 안전도가 다르다는 걸 아시나요? 제가 직접 사용해본 경험을 바탕으로 안전도를 비교해볼게요. 가장 흔한 SMS 인증은 사실 가장 약한 2FA 방식이에요. SIM 스와핑이라고 해서 통신사에 사회공학적 해킹을 해서 내 전화번호를 다른 유심으로 옮기는 공격이 실제로 발생하거든요. 그다음이 이메일 인증인데, 이것도 이메일 계정 자체가 해킹되면 무력화돼요. 더 안전한 건 인증 앱(TOTP) 방식이에요. Google Authenticator나 Authy 같은 앱에서 30초마다 바뀌는 6자리 코드를 생성하는 방식인데, 물리적으로 내 스마트폰을 가지고 있어야만 코드를 볼 수 있어서 안전해요. 가장 안전한 건 하드웨어 보안키(FIDO2)예요. YubiKey 같은 물리적 장치를 USB에 꽂아야 로그인이 되는 방식인데, 피싱에 완벽하게 면역이에요. 저는 주요 계정(구글, 트위치, 유튜브)에는 하드웨어 보안키를, 나머지 계정에는 인증 앱을 사용하고 있습니다. 앞서 말한 것처럼 제가 당한 공격은 세션 토큰 탈취였어요. 이 방식은 2단계 인증도 우회할 수 있어서 특히 위험한데, 대응법을 알려드릴게요. 첫째, 출처가 불분명한 파일은 절대 다운로드하지 마세요. 특히 협찬 메일에 첨부된 실행 파일은 반드시 바이러스 토탈(VirusTotal)에서 먼저 검사하세요. 둘째, 브라우저에 비밀번호를 저장하지 마세요. 크롬에 저장된 비밀번호는 악성코드로 쉽게 탈취할 수 있어요. 비밀번호 관리자를 별도로 사용하는 게 훨씬 안전합니다. 셋째, 정기적으로 모든 기기에서 세션을 로그아웃하세요. 구글은 보안 설정에서 '모든 기기에서 로그아웃'이 가능하고, 트위치도 설정에서 '모든 세션 종료'를 할 수 있어요. 넷째, 브라우저 쿠키를 정기적으로 삭제하세요. 방송이 끝날 때마다 브라우저 데이터를 삭제하는 습관을 들이면 탈취 가능한 세션 토큰 자체가 없어지니까요. 다섯째, 방송용 PC에서는 이메일 첨부파일을 절대 열지 마세요. 협찬 관련 이메일은 별도의 스마트폰이나 태블릿에서 확인하는 게 안전해요. 주요 방송 플랫폼별로 반드시 설정해야 할 보안 옵션을 정리해볼게요. 트위치는 설정, 보안 및 개인 정보 보호에서 2단계 인증을 활성화하고, '로그인 확인'을 켜세요. 그리고 '인증된 앱' 목록을 정기적으로 점검해서 모르는 앱의 접근 권한을 제거하세요. 유튜브(구글)는 보안 설정에서 고급 보호 프로그램에 등록하는 것을 추천해요. 이건 하드웨어 보안키가 필수인 구글의 최고 수준 보안 기능인데, 콘텐츠 크리에이터라면 꼭 등록하는 게 좋아요. 아프리카TV는 비밀번호를 주기적으로 변경하고, 로그인 알림을 활성화하세요. 디스코드는 설정에서 2FA를 활성화하고, 서버 관리자라면 서버 차원의 2FA 요구 설정도 켜두세요. 그리고 모든 플랫폼에서 공통적으로 '활동 로그' 또는 '보안 이벤트'를 정기적으로 확인해서 내가 모르는 로그인 시도가 있었는지 점검하는 습관을 들이세요. 스트리머를 대상으로 한 해킹의 가장 흔한 경로가 협찬 사기 메일이에요. 제가 당한 것도 이 방식이었고, 주변 스트리머들도 비슷한 경험이 많더라고요. 가짜 협찬 메일을 구별하는 방법을 정리하면요. 첫째, 발신자 이메일 주소를 꼼꼼히 확인하세요. 정상적인 기업은 공식 도메인 이메일을 사용하는데, 사기 메일은 gmail이나 outlook 같은 무료 이메일을 쓰거나, 공식 도메인과 비슷하지만 미묘하게 다른 주소를 사용해요. 둘째, 첨부파일의 확장자를 확인하세요. 정상적인 협찬 제안서는 보통 PDF나 문서 파일이에요. exe, scr, bat 같은 실행 파일이나, zip으로 압축된 실행 파일은 무조건 의심하세요. 셋째, 긴급함을 강조하는 메일은 의심하세요. '24시간 내로 응답하지 않으면 기회가 사라집니다' 같은 문구는 전형적인 사기 수법이에요. 넷째, 구글에 해당 업체명을 검색해서 실제로 존재하는 회사인지 확인하세요. 다섯째, 의심스러울 때는 해당 업체의 공식 웹사이트에서 연락처를 찾아 직접 확인하세요. 만약의 사태에 대비해서 계정 복구를 위한 사전 준비도 해둬야 해요. 각 플랫폼의 복구 옵션을 미리 설정하고, 복구에 필요한 정보를 안전한 곳에 보관해두세요. 구글은 복구 이메일과 복구 전화번호를 반드시 설정하고, 백업 코드를 출력해서 오프라인에 보관하세요. 트위치는 인증된 전화번호를 최신 상태로 유지하고, 스트림 키를 별도로 기록해두세요. 디스코드는 백업 코드를 반드시 저장하고, 서버 소유권 이전을 위한 백업 관리자를 지정해두세요. 그리고 각 플랫폼의 고객 지원 연락처를 미리 정리해두면 긴급 상황에서 빠르게 대응할 수 있어요. 저는 모든 계정 정보와 복구 코드를 비밀번호 관리자의 보안 메모 기능에 저장하고 있고, 추가로 종이에 출력해서 금고에 보관하고 있어요. 보안은 한 번 설정하고 끝나는 게 아니라 정기적으로 점검해야 해요. 저는 매월 첫째 주에 보안 점검 루틴을 진행하고 있는데 공유해볼게요. 이 루틴을 진행하는 데 한 달에 30분 정도면 충분해요. 30분 투자로 계정을 지킬 수 있다면 충분히 가치 있는 시간이라고 생각합니다. 보안에 관심 있는 스트리머 분들은 꼭 실천해보시길 바랍니다!유튜브 계정 탈취 사건의 전말
비밀번호 관리의 기본과 고급 전략
2단계 인증의 종류와 안전도 비교
세션 토큰 탈취 공격 대응법
각 플랫폼별 보안 설정 완벽 가이드
협찬 메일 사기 구별하는 방법
계정 복구 대비 사전 준비하기
정기적인 보안 점검 루틴 만들기
댓글
3