"털린 내 정보 전부 여기에?"...`역대 최대` 260억개 훔친 계정정보 발견

엑스(X·옛 트위터), 링크드인, 스냅챗, 어도비 등에서 유출된 260억개의 계정 정보가 누구나 볼 수 있는 오픈 사이트에 버젓이 공개돼 있는 것으로 확인됐다. 전문가들에 따르면 현재까지 확인된 가장 큰 규모의 계정정보 유출 데이터다. 

사이버 보안 전문가 밥 디아첸코와 사이버뉴스 팀으로 구성된 연구진이 X를 비롯한 유명 서비스 로그인에 필요한 계정정보와 개인 민감 정보가 포함된 260억건 이상의 유출 데이터 레코드가 포함된 데이터베이스를 한 공개 웹사이트에 발견했다고 포브스 등 외신이 23일(현지시간) 보도했다. 

이 데이터베이스는 과거에 발생한 유출 사건으로 새어 나온 데이터를 색인으로 만들고 검색도 할 수 있게 돼 있었다. 3800개의 폴더에 걸쳐 260억개의 레코드가 들어있는데 각 폴더는 별도의 데이터 침해를 의미한다는 게 사이버뉴스의 분석이다. 

텐센트만 탈취된 계정정보가 14억 개에 달하고, 웨이보 5억400만개, 마이스페이스가 3억6000만개, 트위터가 2억8100만개, 음악 스트리밍 플랫폼 디저 2억5800만개, 링크드인 2억5100만개 등이다.  

발견된 유출 데이터의 데이터베이스는 크기가 12테라바이트에 달한다. 이를 발견한 밥 디아첸코와 사이버뉴스 측은 "위협 행위자가 신원 도용, 정교한 피싱 수법, 표적 사이버 공격, 개인 및 민감한 계정에 대한 무단 액세스 등 광범위한 공격에 활용될 수 있는 만큼 위험성이 매우 높다"고 밝혔다. 

1억건 이상 계정정보가 유출된 서비스 <자료:사이버뉴스>

260억건의 계정정보 중 중복된 계정도 꽤 있겠지만 지구 인구의 몇배가 되는 숫자인 만큼 온라인 서비스를 이용하는 인구 대다수가 영향을 받았을 것으로 보인다고 만타스 사스나우스카스 사이버뉴스 보안 연구 책임자는 밝혔다. 그나마 다행인 것은 그동안 일어난 다양한 역대 침해 데이터를 꼼꼼하게 편집한 것으로 보이는 이 데이터에는 새로 도난당한 정보는 들어있지 않았다. 

전문가들은 사용자들에게 피싱 사기에 대해 조심하고 비밀번호를 바꿀 것을 촉구한다. 이 데이터베이스를 소유한 사람이 누군지는 확인이 힘들 가능성이 높지만 데이터 브로커나 악의적인 사이버 범죄자일 가능성이 점쳐진다. 

유출 데이터가 가장 많은 플랫폼은 중국의 인스턴트 메시징 플랫폼인 텐센트로, 14억 개에 달한다. 어도비, 텔레그램, 드롭박스, 도어대시, 캔버, 스냅챗 같은 사이트와 미국, 브라질, 독일, 필리핀, 터키 등 다양한 정부 기관도 포함됐다. 

사이버뉴스는 누구나 자신의 계정정보가 유출됐는지 조회할 수 있는 검사 프로그램을 개발했다. 원하는 사람은 이를 이용해 이메일 주소와 전화번호를 조회해볼 수 있다. 

이번 발견과 관련해 글로벌 사이버 보안 자문 회사인 이셋의 제이크 무어는 "우리는 사이버 범죄자들이 이렇게 제한된 정보로 무엇을 얻을 수 있는지 결코 과소평가해서는 안 된다"고 밝혔다. 사용자들이 넷플릭스, 구글 등 다른 서비스에서 동일한 계정과 비밀번호를 사용하는 경우 공격자들이 이를 이용해 더 민감한 서비스와 데이터도 손에 넣을 수 있다는 얘기다. 또 데이터가 유출된 사용자는 스피어 피싱 공격 피해를 입거나 높은 수준의 스팸 이메일을 받을 수도 있다고 한다.  

전문가들은 여러 계정에서 동일하고 쉽게 추측할 수 있는 비밀번호를 재사용하지 말라고 조언한다. 또 비밀번호 관리자를 사용해 보안성이 강한 계정을 만들고 저장하라고 권한다. 

제이크 무어는 "비밀번호를 즉시 변경하고, 최근 보안 침해의 영향을 받았는지 여부에 관계없이 모든 계정에 대해 이중 인증을 이용하라"고 촉구했다. 

2024-01-24 

디지털타임스 김영욱기자