인류의 ‘절반’? “비밀번호 등 인증정보 유출”

소셜미디어 등에서 사상 최대 160억개 비번과 인증정보 유출
애플, 페이스북, 구글, 텔레그램, 깃허브, VPN, 이메일, 공공포털 등 털려
‘악성 SW, 사용자 컴퓨터에 침투, 자격 증명, 쿠키, 세션 토큰 등 훔쳐

[애플경제 전윤미 기자] 무려 160억개의 패스워드와 인증정보가 유출된 사상 최대 규모의 데이터 도난 사건이 벌어졌다. 애플, 페이스북, 구글, 텔레그램, 깃허브, VPN 등은 물론, 일부 국가의 정부 포털까지 포함한 플랫폼에서 이런 어마어마한 숫자이 비밀번호들이 무더기로 유출되었다.

이들 소셜미디어 사용자들이 대부분 피해자가 될 수 있는 만큼 전 세계적으로 그 숫자를 가늠하기조차 어려운 상황이다. 이 역시 정보 유출 악성코드 공격의 결과로 추정된다.

피해자들, “적게는 수천만 건, 많게는 35억명”

보안매체이자 전문기관인 사이버뉴스(Cybernews)에 따르면 이번에 데이터가 유출된 피해자들은 적게는 수천만 건에서 많게는 35억명에 달할 것으로 추정된다. 이들의 기록을 망라한 30개의 초대형 데이터 세트에서 도난 사건이 발생한 것이다. 최악의 경우 전 인류의 절반이 피해를 입을 수도 있다는 추측도 나돈다.

공격자들이 훔쳐낸 비밀번호 등 인증정보는 다시 한데로 취합되어, 대규모 저장소에 저장된 후 사이버 범죄 포럼과 지하 시장에서 거래될 것으로 보인다. 이들 데이터 세트는 URL, 로그인, 비밀번호 등을 망라한다. 다들 해커들이 사용자들의 계정을 탈취할 수 있는 무기가 될만한 것들이다.

이에 ‘사이버뉴스’팀은 “이는 단순한 유출이 아니라 해커들이 대규모로 사이버공격에 나서기 위한 치밀한 작전의 일환”이라며 “더욱이 기존 해킹 사례를 참고했다기보단, 전혀 새롭게 무기화된 대규모 범죄”라고 우려했다.

이런 역대급 공격은 어떻게 가능했을까. 현재 추측하기론 정보 탈취를 위한 악성 소프트웨어 네트워크를 사용자의 컴퓨터에 은밀하게 침투시킨 것으로 보인다. 이는 브라우저에 저장된 자격 증명, 쿠키, 세션 토큰과 같은 민감한 정보를 유출하도록 설계된 것이다.

이런 악성 소프트웨어는 일단 기기에 침투하면 로그인 자격 증명을 체계적으로 수집한다. 특히 시스템이 침해당했다는 사실을 인지하지 못한 일반 사용자의 로그인 자격 증명을 수집하는 경우가 많다. 이런 방식으로 도난당한 데이터는 대규모 데이터 세트로 수집되어, 사이버 범죄 지하 조직에 판매된다.

기기에 침투, 로그인 자격 증명 체계적 수집

이들 조직은 표적 피싱 공격, 신원 도용, 그리고 직접적인 계정 탈취에 이를 악용한다. 이런 정보 유출 공격자들은 또한 사용자의 습관이나 행동, 허술한 비밀번호 관리 체계, 그리고 구식 보안 프로토콜 등을 악용, 공격을 퍼부어대곤 한다.

이런 방식으로 자행된 이번 사이버공격의 피해 범위는 그야말로 광범위하다. 거의 모든 소셜미디어 사용자들을 대상으로 한 것이다.

현재 밝혀진 것만 해도 애플, 페이스북, 구글, 텔레그램, 깃허브, VPN 서비스, 그리고 개발자 플랫폼이나 온라인 마켓플레이스, 정부나 공공기관 로그인 포털 등을 망라하고 있다. “이제 거의 모든 온라인 서비스의 자격 증명이 노출되었으므로 누구도 안전하지 않다. 개인적으로 혹은 직업적으로 인터넷을 사용하는 사람이라면 누구나 영향을 받았을 가능성이 높다”는 ‘사이버뉴스’의 분석이다.

나아가서 그 피해는 단순한 수치로만 설명되지 않는다. 이러한 자격 증명을 사용, 피싱 공격을 실행하고, 은행 계좌를 탈취하고, 기업 네트워크의 사용자를 사칭하며 중요한 클라우드 서비스에도 접근할 수 있다. 공격 대상은 개인에게만 국한되지 않는다. 크고 작은 기업 시스템과 민간과 공공 인프라 등을 가리지 않는다.

그 결과 범죄자들이 이번에 훔쳐낸 자격 증명은 “상상할 수 있는 거의 모든 온라인 서비스에 접근할 수 있는 문을 열어준다”는 것이다. 심지어는 단 몇 분 만에 자동으로 대규모 계정을 탈취할 수도 있다는 우려다.

각국 보안업계도 비상이 걸렸다. 이들은 사용자들에게 지체 없이 조치를 취할 것을 촉구하고 있다. 보안업체 ‘KnowBe4’는 “이는 기술적인 문제가 아니라 공동의 책임 문제”라며, “기업이나 조직은 사용자를 보호해야 하지만, 사용자 또한 경계를 늦추지 말고 적극적으로 대응해야 한다”고 권했다. 그야말로 ‘총력전’에 나설 필요가 있다는 얘기다.

사용자들이 긴급히 취해야 할 조치들

무엇보다 비밀번호부터 속히 바꿔야한다. 이메일 계정을 비롯, 소셜 미디어, 뱅킹, 클라우드 서비스, 정부 로그인 등이 모두 포함된다. 특히 금융 관련 계정을 가장 먼저 바꿔야 한다. 또한 ‘다중 인증(MFA) 활성화’도 필요하다. 즉, 비밀번호가 도용되더라도 MFA는 무단 접근을 방지하는 중요한 장벽 역할을 할 수 있기 때문이다.

‘비밀번호 관리자 사용’ 기능을 적극 활용해야 한다. ‘비밀번호 관리자’는 각 계정에 대해 고유하고 복잡한 비밀번호를 생성하고 저장하는 데 도움이 된다. 여러 서비스에서 동일한 비밀번호를 재사용할 가능성을 줄여주는 것이다.

또한 패스키로 전환할 필요가 있다. 구글과 애플 등 빅테크들은 사용자들에게 패스키를 적극 도입할 것을 권장하고 있다. 패스키는 단순히 기억된 비밀번호에 의존하지 않고, 피싱 등에 대비하기 위한 최강의 인증 방법이다. 평소 계정을 세심히 모니터링하면서, 의심스러운 징후가 있는지 잘 살펴야 한다.

160억 건에 달하는 이번 신원 정보 유출 사건은 단순한 사이버범죄 차원을 넘어서는 사건이다. 이는 디지털 신원의 효능에 대한 근본적인 질문이자 경고일 수도 있다. 비밀번호 보안은 가장 중요한 디지털 세상의 안전판이다. 하나의 계정에만 접근할 수 있어도, 본격적인 신원 도용으로 이어질 수 있는게 지금의 초연결 사회다.

이번 유출 사고는 기업의 입장에선 엔드포인트 보호나, 직원 보안 교육, 안전한 인증 시스템 등 강력한 사이버 보안 프로토콜에 대한 투자의 필요성을 강조한다. 또한 개인에게는 분명한 메시지다. 개인이건 기업이든 이제 기존 비밀번호에만 의존할 수는 없다. 즉 “점점 더 정교해지고 무자비해지는 사이버위협 환경에 맞서, 현대적인 보안 관행을 서둘러 정착시켜야 한다”는 주문이다.

전윤미 기자 jym0538@naver.com