평화롭게 일상을 보내던 연말, 우연히 들어가본 네이버 메일에 넷플릭스로부터 날아온 여러건의 메일이 와있었습니다. 


안드로이드 기기밖에 사용하지 않는데, 갑작스레 iOS의 Safari에서 넷플릭스 로그인이 이뤄졌다는 내용의 메일이었습니다. 맥북에어도 팔고 아이폰은 5S이후로 써본적도 없는데...그래서 아이디 로그인하는 방법도 까먹었는데 참 이상한 일이었죠.

계정에 접속해 확인해보니 VPN을 이용해 국내로 속여 접속한 것으로 생각됐습니다. 이에 각 프로필에 암호를 걸고 기존 디바이스를 전부 로그아웃 시켰습니다.

그리고 일주일이 지나 청천벽력같은 메일이 옵니다. 기존에 사용하던 "스탠다드" 멤버십이 갑작스레 "울트라"로 바뀌고, 생전 해본적도 없는 새로운 계정을 추가하면서 1월 결제비가 올라간다는 메일이었습니다.



당황한 나머지 부모님 보라고 가입한 넷플릭스를 신뢰할 수 없는 상황이 되었습니다. 넷플릭스는 해외 유수의 사이트들이 이용하는 2중 보안을 걸지 않고, 로그인한 사용자가 어떠한 제재도 없이 요금제를 변경할 수 있기 때문에 기존에 비밀번호가 노출된 경우 쉽게 악용할 수 있는 상황이었죠. 그래서 곧바로 환불, 탈퇴 및 계정 삭제 절차에 돌입합니다.

1. 넷플릭스에 해킹으로 인한 의도하지 않은 결제 통보, 멤버십 해지 및 결제정보와 계정삭제

구글링을 해본 결과 비슷한 사례가 꽤 많아 보입니다. 수십년을 써온 아이디와 비밀번호인데, 국내외 사이트 보안이 약했던 시절의 정보가 넘어갔겠죠. 귀찮게 해킹해서 셋방살이하는 친구에겐 처절한 복수를 위해 가장 먼저 비밀번호를 바꾸고, 추가계정을 해지시키고 요금제 변경을 시도했습니다. 하지만 바뀐 요금제는 1월 중순이 되서 결제가 되고 다시 원래대로 복구가 가능하다고 안내되니 답답할 노릇입니다. 
결국 넷플릭스 고객센터에 통화해 현재 상황을 설명하기에 이릅니다.

넷플릭스 고객센터에서 타이핑으로 클레임을 걸다가 시간이 오래 지체되기 때문에 상담원을 바로 연결했습니다. 상담원에게 의도하지 않은 멤버십변경, 추가회원, 비밀번호 변경까지 속사포로 내뱉고 멤버십해지와 환불, 결제정보삭제, 탈퇴방법까지 문의했습니다.




12월 30일 변경된 해당 내용에 대해서는 곧바로 환불 조치가 이뤄졌고, 결제정보 삭제까지 카드번호로 본인확인후 삭제가 진행되었습니다. 마지막으로 계정 삭제는 privacy@netflix.com으로 계정 삭제를 요청하는 메일을 넣어 담당자들이 따로 삭제해야한다기에 곧바로 삭제를 요청하고 마음의 평안을 얻었습니다.




2. 사용하는 인터넷 사이트 계정의 해킹여부 확인 : Google One

사진과 동영상 촬영이 늘어나면서 구글 포토의 용량이 부족해 23년 초에 Google One에 가입해 결제했던 이력이 있습니다. 크롬 브라우저에서는 비밀번호가 노출되거나 중복되었다고 알려주지만, Google One에서는 어떤 사이트에서 어떤 정보가 노출 되었는지 확인할 수 있습니다.

* Google one : https://one.google.com

Google one에서 가장 유용한 기능은 개인적으로 "다크 웹 보고서"입니다. 웹상에 잘 노출되지 않는 기저의 사이트들에서 예전에 작성했던 개인 정보가 떠돌아 다니고 있는데, 특히 취준생시절 작성했던 입사지원서에서 아이디, 비밀번호, 생년월일, 이름, 주소, 전화번호 등의 다양한 정보가 해킹 당했음을 확인할 수 있었습니다. 중견기업인데도 말이죠.

결국 기존에 사용하던 계정을 그대로 이용하려면 기존과 다른 규칙의 비밀번호를 만들어야 하는 상황에 도달했습니다. 중요도 순으로 계정의 비밀번호 패턴을 바꿔버리는 방법도 가미했죠.

3. 사용하는 인터넷 사이트의 전체계정 비밀번호 변경

*개인정보보호위원회 / 개인정보포털-웹사이트 회원 탈퇴 : https://www.privacy.go.kr/front/contents/cntntsView.do?contsNo=192
*크롬 - 구글 비밀번호 관리자 : chrome://password-manager/passwords

개인정보 노출로 비밀번호까지 다 해킹당한 상황이라면, 계정 다이어트를 해야겠다고 마음먹었습니다. 크롬에 저장된 비밀번호로 계정의 상태를 확인하고, Google One에서 노출된 비밀번호 패턴을 확인한 뒤, 필요없는 계정은 탈퇴처리하고 필요한 계정은 비밀번호를 무식하게 바꾸기에 이르렀죠.

단, 그래도 그나마 보안이 유지될만한 기기나 노트에 따로 적어 놓는게 중요합니다. 물론 그걸 잃어버리는 순간 사이트 계정찾기는 좀 더 복잡해지겠지만, 그래도 정보가 털리는 것보단 나으니까요.

실제로 넷플릭스에서도 가입된 계정의 비밀번호가 노출된 것으로 보이니 비밀번호 변경하라고 안내하시기도 했어요. 넷플릭스 계정이 해킹되어 미루고 미뤘던 계정 정리를 시작해 12월 31일 하루종일 과거 가입했던 상당수의 사이트에서 계정 탈퇴했고, 필요한 계정들 위주로 비밀번호를 바꿨습니다. 그리고 크롬에 있는 비밀번호 역시 바꾸면서 중요한 계정은 비밀번호를 삭제했습니다. 

브라우저에 저장하는 게 편하지만, PC가 해킹당하거나 바이러스 감염등으로 PC를 사용하지 못할 경우에 대비해 수기로 따로 적어뒀습니다.

결론 : 넷플릭스 보안은 취약하다. 노출된 비밀번호는 주저하지 말고 변경하자. 필요없는 사이트는 탈퇴하자. 


이번 일을 계기로 넷플릭스에 대한 이미지가 상당히 부정적으로 변했습니다. 개인의 동의도 없이 어떤 알림도 없이 비밀번호가 변경되고, 멤버십 요금제가 변경되며, 신규회원을 추가로 등록할 수 있다는 사실에서 경악을 금치 못하네요. 시가총액이 낮은 네이버 조차 2차, 3차로 로그인 할 수 있게 사이트 보안을 강화하는 추세인데요. 아니면 마이크로소프트처럼 Authentication 앱을 따로 만들거나 어플내에 구축해 로그인시 무조건 비밀번호보다 보안키를 누르도록 보안강화에 힘써야 하는 상황이 아닐까 싶었네요. 
다행히도 넷플릭스의 상담연결이 구글이나 타 사이트에 비해 쉽고 빠르게 연결된 점은 좋았습니다.

소잃고 외양간을 휘향찬란하게 고치긴 했지만, 최근의 해킹이 취약한 사이트를 해킹해 계정과 비밀번호를 탈취해 다른 사이트에서 이용한다는 점에 불안감이 커졌습니다. 복잡하겠지만 사이트별로 비밀번호를 다르게 설정하거나 주기적으로 비밀번호를 바꾸는 방법외에는 별다른 대안이 없을 꺼라고 생각되네요.