[초점] 190억 건 유출 패스워드 비상…AI 무장 스미싱, 스마트폰 사용자 덮친다

국내 1위 통신업계 SK텔레콤이 해킹 사고가 발생한 가운데 불과 지난 몇 달 사이 다크웹과 범죄 포럼에 유통된 탈취 패스워드 확인 목록이 8억 건에서 21억 건으로 급증했다. 주로 인포스틸러 악성코드 공격 확산 탓이다. 새로 공개된 보고서는 이 충격적 수치를 훨씬 뛰어넘는 190억 건 이상 패스워드가 현재 온라인에서 입수 가능한 상태라고 밝힌다. 자동화 패스워드 해킹이 만연한 위험한 상황인 만큼, 피해를 막기 위한 즉각 조치가 필요하다고 포브스재팬이 지난 11일(현지시각) 보도했다.


사이버뉴스(Cybernews) 최신 분석에 따르면, 2024년 4월부터 1년 동안 발생한 200건의 보안 사고로 약 190억 건 패스워드가 다크웹과 범죄 포럼에 유출돼 온라인에서 누구나 접근 가능한 상태다. 이 데이터베이스에는 실제로 유출된 이메일-패스워드 쌍만 포함하며, 단순한 단어 목록은 빼냈다.

특히 전체 유출 패스워드 가운데 94%가 재사용됐으며, 42%는 8~10자로 짧다. 27%는 소문자와 숫자만으로 이뤄져 매우 취약하다. 사이버뉴스 네링가 마치야우스카이테 정보 보안 연구원은 "기본 패스워드 문제는 유출된 인증 정보 데이터 세트에서 가장 뿌리 깊고 위험한 패턴 중 하나"라고 지적했다. 분석 결과 'admin'은 5300만 번, 'password'는 5600만 번 사용된 것으로 나타났다.

마치야우스카이테 연구원은 "공격자들이 이들을 가장 먼저 노리기 때문에 안전성이 가장 낮다"고 강조한다. 패스워드를 절대 재사용하지 않는 것도 중요하다. 그는 "여러 플랫폼에서 같은 패스워드를 쓰면 한 시스템이 뚫렸을 때 도미노처럼 다른 계정 안전까지 위협받을 수 있다"고 경고한다.
AI 기반 패스워드 해킹 도구(PassGAN 등)는 유출 데이터를 배워 사람처럼 패스워드를 추측한다. 연구 결과 PassGAN은 1분 안에 패스워드 51%를 해독할 수 있으며, 짧고 단순한 패스워드는 더 빨리 뚫린다. 반면, 대문자·소문자·숫자·기호를 섞은 12자 이상 복잡한 패스워드는 여전히 해독하기 어렵다.

시스템이 뚫리지 않았더라도 공격자는 흔한 패스워드 패턴을 계속 악용한다. 공격자는 항상 최신 인증 정보 덤프를 모으고 공개 인포스틸러 데이터, 해독된 해시 값을 얻는다. 이를 통해 고도화된 크리덴셜 스터핑 공격이 이어지고 기존 보안 방어를 쉽게 우회한다. 패스워드 재사용과 단순성은 해킹 위험을 키운다.


2024년 들어 이메일을 넘어서 모바일 피싱(SMS, iMessage, RCS 등)이 급증하고 있다. 프루프포인트(ProofPoint) 보고서에서 이제 피싱 공격 주 표적이 모바일 기기라고 밝힌다. 유출 패스워드 문제를 막기 위해 사이버 보안 업계 대응을 촉구하는 목소리도 나온다. 메타서트(MetaCert) 폴 월시 CEO는 지난 3월 메타서트가 진행한 최신 전국 SMS 피싱 테스트(AT&T, 버라이즌(Verizon), T-모바일(T-Mobile), 부스트 모바일(Boost Mobile) 등 참여) 결과가 실망스러웠다고 밝혔다.

월시 CEO는 "모든 피싱 메시지가 배달됐다"며 "차단, 경고 표시, 수정은 전혀 이뤄지지 않았다"고 말했다.

보안 연구팀 리시큐리티(Resecurity) 최신 보고서에서 SMS 피싱 위협 심각성이 다시 드러났다. 리시큐리티는 최소 2023년부터 활동한 '스미싱 트라이어드(Smishing Triad)'라는 중국 사이버 범죄 조직을 추적해 왔다. 이들은 전 세계 규모로 범행을 계획하며, 최근 일반화된 '서비스형 범죄(Crime-as-a-Service)' 모델을 채택해 여러 관련 조직과 협력해 피해자를 노린다.

리시큐리티는 중국 기반 위협 행위자 한 명이 하루 최대 200만 건 피싱 SMS를 발송할 수 있다고 보고한다. 스미싱 트라이어드 전체 능력은 "월 6000만 건, 해마다 7억2000만 건 공격이 가능하며 미국 전체 인구를 해마다 두 번 노릴 수 있는 규모"라고 보고됐다. 스미싱 트라이어드는 통신사 SMS 게이트웨이는 물론 애플 iMessage, RCS(리치 커뮤니케이션 서비스)를 지원하는 구글의 구글 메시지까지 활용해 피싱을 퍼뜨린다.

이러한 상황에서 '판다'라는 새로운 이름이 등장했다. 리시큐리티는 지난 3월 '판다 샵(Panda Shop)'이라는 새로운 스미싱 킷(SMS 메시지를 악용한 피싱 도구)을 확인했다. 이는 스미싱 트라이어드 서비스와 비슷한 수법을 쓰는 것으로 보인다. 보고서에서 판다 샵 킷은 여러 텔레그램(Telegram) 채널과 상호 반응형 봇을 이용해 애플 iMessage나 안드로이드 구글 메시지로 자동 서비스 제공한다고 밝혔다. 위협 행위자들은 대량의 부정 취득 Gmail, 애플 계정을 구매해 피싱 메시지 발송을 돕는 것으로 나타났다.

리시큐리티는 "스미싱 트라이어드처럼 판다 샵도 임의 서버에 배포 가능한 맞춤 스미싱 킷을 제공한다"고 보고했다. 조사팀은 판다 샵 그룹 자체에 스미싱 트라이어드 전 멤버 일부가 포함돼 "공개 비난 후 새 브랜드로 옮겼을 가능성이 높다"고 결론 내렸다. 실제 판다 샵 피싱 킷 구조와 스크립트 작동 패턴은 이전 킷과 매우 비슷하며, 특정 개선 및 새 템플릿 추가 외 거의 같다.

리시큐리티는 스미싱 트라이어드, 판다 샵 등 중국 위협 행위자 스미싱 공격 규모가 매우 크다고 경고했다. "스미싱 범죄는 기존 카드 사기, NFC 악용 등에서 자금 세탁까지 이어지며 훔친 돈을 처리 가능하게 한다"고 지적했다. 표적은 패스워드만 아니다. 그 이후 모든 데이터와 다른 서비스 접근 권한까지 위험에 노출된다. 리시큐리티가 전 세계 금융 기관과 교류한 경험에 비춰볼 때, 이들 활동으로 인한 손실은 해마다 수백만 달러 규모에 달한다. 실제로 해마다 수백억 원대 피해가 발생한다.

월시 CEO는 "지구상 가장 신뢰받는 통신 채널인 SMS는 여전히 보호되지 않은 표적으로 남아 있다"고 비판했다. 그는 이메일 보안 수준 대책을 SMS에도 적용해야 하며, "범죄자는 이미 움직이지만 업계는 대응 못 한다"고 경고했다.

한편 유출 패스워드와 스미싱 공격에 대응하기 위한 방안은 다음과 같다.

패스워드 재사용 금지: 모든 계정에 고유하고 복잡한 패스워드를 쓴다.

패스워드 관리 도구 쓰기: 안전하게 패스워드를 만들고 관리하는 도구를 이용한다.

다중 인증(MFA) 켜기: 패스워드 외 추가 인증 수단을 반드시 설정한다.

피싱 SMS 주의: 어디서 왔는지 모르는 메시지 링크 클릭을 삼가고 개인 정보 입력을 자제한다.

패스워드 유출 확인: 사이버뉴스 등에서 주는 'Leaked Password Checker'로 패스워드가 샜는지 확인하고, 샜다면 바로 바꾼다.


박정한 글로벌이코노믹 기자 park@g-enews.com