160억 개 비밀번호 유출 사고 발생 – 코인 투자자 각별한 주의 필요

최근 애플, 구글, 페이스북, 텔레그램, 깃허브 등 온라인 플랫폼의 로그인 자격 증명 160억 개 이상이 유출되는 대형 보안 사고가 발생한 것으로 나타났다.
사이버뉴스 연구 팀은 이번 유출 사고를 밝히며 역대 최대 규모의 자격 증명 유출 사고 중 하나라고 설명했다. 이번 사고는 사이버 보안, 디지털 자산 관리, 온라인 이용자 모두에게 중요한 의미를 가졌다.
멀웨어 이용 유출로 160억 개 로그인 기록 유출
사이버뉴스에 따르면 이번에 유출된 정보는 단일 사고로 발생한 것이 아니라 여러 인포 스틸러 멀웨어, 크리덴셜 스터핑 공격, 기존 미공개 유출 사고에서 수집한 데이터셋을 조합한 정보였다.
데이터셋에 따라서 단일 데이터셋에 35억 개의 기록이 포함되기도 했으며 평균적으로 데이터셋당 5억 5,00만 개의 기록이 포함되었다. 연구원들은 2024년 초부터 데이터를 추적해 최소 30개의 유출 데이터셋을 발견했으며 이 중에서 상당수는 기존에 한 번도 공개된 적 없는 정보였다.
사이버뉴스는 이번 유출 사고를 두고 “ 단순 정보 유출이 아니라 대량 착취를 위한 청사진”이라고 표현했다.
또한 “160억 개 이상의 로그인 기록이 유출되면서 사이버 범죄자들은 계정 탈취, 신원 도용, 집중 표적 피싱 등에 이용할 수 있는 개인 신원 정보에 전례 없는 접근권을 얻게 되었다.”라고 설명했다.

이번에 유출된 정보는 특히 그 구조와 정보의 최신성을 고려할 때 위험성이 크다. 재활용되고 낡은 기존 유출 정보와 달리 이번 데이터는 현대적 인포스틸러 멀웨어로 수집한 정보여서 이용자에게 중대한 사이버 보안 위협으로 작용할 수 있다.
유출된 데이터는 URL별로 로그인 정보를 정리했으며 사용자 이름, 비밀번호, 쿠키, 심지어는 토큰까지 저장되었다.
일부 데이터셋은 텔레그램 등 특정 서비스에 관한 정보였다. 텔레그램 관련 기록은 6,000만 개에 달했다.
러시아 연방 관련 항목도 4억 5,500만 개 이상이었다. 이외에도 클라우드 서비스, 정부 포털, 기업 내부망 등에 관한 기록이 포함되었다.
대부분의 데이터는 보안 설정이 되지 않은 엘라스틱서치 데이터베이스와 객체 스토리지 인스턴스에서 유출되었다. 정보가 유출된 기간은 아주 짧았으나 연구원들이 이를 복제하기에는 충분히 긴 시간이었다.
아직 유출 데이터셋의 출처는 분명하지 않으며 전문가들은 최소한 일부가 범죄자에 의해 수집되었을 것이라고 추측하고 있다.
대량 자격 증명 유출로 코인 투자자 위험 노출
이 정도 규모의 자격 증명 유출은 암호화폐 보안에 직접적 위협으로 작용한다. 공격자는 확보한 정보를 피싱 스캠, 랜섬웨어, 이메일 공격 등에 이용하거나 암호화폐 지갑이나 트레이딩 플랫폼 미허가 접근에 이용할 수 있다.
다단계 인증을 이용하지 않는 이용자가 특히나 취약하다.
연구원들은 “토큰, 쿠키, 메타데이터 등에 관한 오래된 정보와 최신 정보를 모두 포함했다는 점에서 이번 데이터는 다단계 인증을 이용하지 않거나 크리덴셜 위생 수칙을 철저히 지키지 않는 조직에 특히나 위험하다.”라고 설명했다.
중복 기록으로 인해 정확한 피해자 수를 추정하기는 어렵지만 규모의 방대함으로 인해 성공 확률이 아주 희박하더라도 수백만 개의 계정이 유출될 위험에 처했다.
암호화폐 이용자라면 특히나 신속하게 대응할 것을 권장한다. 여러 지갑 서비스와 거래소에서 이메일 제공업체나 클라우드 서비스의 자격 증명을 이용하고 있기 때문에 계정 탈취가 자산 탈취로 직접 이어질 가능성이 존재한다.
사이버뉴스는 기본적 사이버 위생의 중요성을 강조했다. 이용자는 즉시 비밀번호를 변경해야 하며 가능한 경우 다단계 인증을 활성화하고 기기에 멀웨어가 있는지 스캔해야 한다.
연구원들은 “이러한 유출 사고에 대해 이용자가 미칠 수 있는 영향은 미미하다. 자신의 보안을 위해 사전 예방적으로 대응하는 방법이야말로 최선의 방어책이라고 할 수 있다.”라고 강조했다.
아직 어떠한 주체도 데이터베이스 유출에 대해 책임을 주장하지 않았다.
그러나 몇 주 단위로 새로운 데이터셋이 등장하고 있기 때문에 연구원들은 이러한 양상이 암호화폐 보안 생태계 전체를 위협하는 복잡한 인포스틸러 작전의 증가 추세를 반영했다고 지적했다.
이번 사고는 디지털 생활이 얼마나 위험에 노출될 수 있는지 그리고 탈취된 자격 증명이 얼마나 현실 세계에 피해를 미칠 수 있는지 보여주었다.
사이버 보안 추적 플랫폼 다크웹인포머의 3월 27일 보고서에 의하면 최근 다크웹에서 제미나이, 바이낸스 등 주요 거래소의 이용자 정보가 판매된 사례도 존재해 경각심을 일깨웠다.
“AKM69”로 알려진 한 악의적 행위자는 10만 개의 제미나이 이용자 기록을 판매한다고 주장했다. 여기에는 이름, 이메일 주소, 전화번호, 위치 정보 등이 포함되었으며 대부분 미국, 영국, 싱가포르 이용자들이었다.
또 한 명의 악의적 행위자 “kiki88888”는 바이낸스 이용자 기록 13만 2,000개를 판매하기 위해 등록했다. 이 정보의 경우 거래소 유출로 인한 정보가 아닌 인포스틸러 멀웨어로 수집한 정보로 보인다.
아직 이들 거래소에서 확인된 유출 사고는 없지만 이번 사고는 나날이 진화하는 암호화폐 보안 위협의 현황을 보여준다. 탈취한 자격 증명은 피싱, 사기, 지갑 복구 스캠에 흔히 재사용된다.