[초점] 역대급 13억개 암호 유출…"당신 계정, 지금 당장 확인하라"

디지털 보안 위협이 전례 없는 수준으로 고조되고 있다. 최근 13억 개에 달하는 고유 비밀번호가 포함된 방대한 규모의 도난 계정 정보 캐시가 발견되면서, 비밀번호 재사용의 지속적인 위험성과 대중에게 알려지지 않은 수많은 정보 유출 사태의 심각성이 다시금 부각됐다고 사이시큐리티 뉴스가 15일(현지시각) 보도했다. 최근 구글의 해명으로 일단락된 대규모 지메일(Gmail) 유출설에 이어, 또다시 등장한 천문학적 규모의 수치는 사이버 보안 업계에 다시 한번 큰 혼란을 야기하고 있다.

이번에 발견된 데이터셋에는 약 20억 개의 이메일 주소와 13억 개의 고유 비밀번호가 포함됐다. 이 중 6억 2500만 개의 비밀번호는 기존에 알려진 공개 유출 정보 저장소에도 보고되지 않은 새로운 정보다. 데이터 유출 알림 서비스 '해브 아이 빈 폰드(Have I Been Pwned, HIBP)'의 설립자 트로이 헌트(Troy Hunt)는 이 발견을 둘러싼 선정주의적 보도를 경계하면서도, 정보 공개의 중요성을 강조했다.

헌트는 데이터 유출에 대한 과장된 뉴스 헤드라인을 선호하지 않지만, 이번 사안은 "데이터가 스스로 말해주기 때문에" 과장이 필요 없다고 역설했다. 당초 '신시언트(Synthient) 데이터셋'으로 명명된 이 정보는 지메일 해킹으로 오인됐으나, 실제로는 3200만 개 이상의 고유 이메일 도메인에 걸쳐 '정보 탈취 악성코드(stealer logs)'와 과거 여러 유출 사건에서 수집된 정보가 총망라된 '포괄적인 수집물'로 밝혀졌다.
지메일이 다른 이메일 제공업체보다 자주 등장하는 것은, 지메일이 세계 최대 이메일 서비스이기 때문이지 단일 침해 사고를 의미하지 않는다. 이 수집물은 단일 사건의 결과물이 아니라, 유출된 이메일과 비밀번호 쌍의 광범위한 집대성이다. 이는 범죄자들이 재활용된 비밀번호를 사용해 은행, 쇼핑 및 기타 온라인 계정에 대한 접근을 자동화하는 '크리덴셜 스터핑(credential-stuffing)' 공격에 사용되는 핵심 재료다.

이번 발견은 대중에 알려지지 않았거나 비교적 소규모로 치부됐던 유출 사건들이 누적될 때 발생하는 위험을 명확히 보여준다. 수십억 개의 유출 계정 정보가 공격자들에게 조용히 흘러 들어갈 때, 그 파급력은 상상을 초월한다. 이 캐시는 단순히 하나의 해킹 사건이 아닌, 과거 공격에서 수집된 계정 정보와 악성코드 정보 탈취범의 로그가 대규모로 집계된 결과물이며, 이는 크리덴셜 기반 공격을 훨씬 더 효과적으로 만든다.


비밀번호 재사용의 위험성은 개인을 넘어 기업 시스템 전체를 마비시킬 수 있다. 재사용된 비밀번호를 악용하는 공격자는 개인 서비스와 기업 서비스 간을 '수평적으로 이동(laterally move)'할 수 있으며, 탈취된 로그인 정보 하나가 광범위한 네트워크의 진입점이 된다. 여전히 수많은 조직이 비밀번호에만 의존하는 인증 방식을 사용하고 있으며, 이는 공격자가 비즈니스 시스템, 클라우드 플랫폼, 관리자 계정을 효과적으로 표적 삼을 수 있게 만드는 고위험 요소다.

유출된 계정 정보가 만연함에 따라, 이메일 계정 하나가 뚫리는 것은 곧바로 금융, 클라우드 또는 기업 보안 침해로 연쇄적으로 이어질 수 있다. 이메일이 계정 복구 및 연결된 서비스 접근의 '중앙 허브' 역할을 하기 때문이다.

전문가들은 신뢰할 수 있는 관리자를 통한 고유 비밀번호 생성, 보편적인 2단계 인증(2FA) 구현, 재사용되거나 이전에 유출된 계정 정보를 식별하기 위한 내부 점검 등 강력한 접근 통제 장치를 시급히 도입해야 한다고 강조했다.
기업들은 또한 공격자들이 이 거대한 데이터셋을 무기화하는 것을 막기 위해 '제로 트러스트(zero-trust)' 원칙을 시행하고, '최소 권한 접근(least-privilege access)'을 구현하며, 크리덴셜 스터핑 시도에 대한 자동화된 방어 체계를 구축해야 한다.

이번 데이터셋의 규모는 HIBP가 처리한 데이터 중 역대 가장 큰 규모로, 이전 최대치보다 거의 3배에 달하는 것으로 나타났다. 이 수집물은 '신시언트'라는 사이버 범죄 위협 인텔리전스 이니셔티브에 의해 편찬됐으며, 이는 한 대학생이 운영하는 것으로 알려졌다.

데이터는 사이버 범죄자들이 도난당한 계정 정보를 자주 게시하는 수많은 출처에서 수집됐다. 여기에는 감염된 컴퓨터의 악성코드에서 수집된 '정보 탈취 로그(stealer logs)'와 이전 유출에서 수집된 대규모 '크리덴셜 스터핑 목록'이라는 두 가지 매우 휘발성이 강한 유형의 데이터가 포함된다. 이들은 지하 네트워크를 통해 결합되고, 재포장되며, 반복적으로 거래된다.


이 방대한 자료를 처리하기 위해 HIBP는 애저 SQL 하이퍼스케일(Azure SQL Hyperscale) 환경의 80개 처리 코어를 거의 2주 동안 최대 용량으로 가동해야 했다. 트로이 헌트는 매일 수백만 명에게 중단 없는 서비스를 유지하면서 150억 개 이상의 기존 계정 정보가 담긴 저장소에 새 기록을 통합하는 과정에서 광범위한 데이터베이스 최적화가 필요했던 극도로 어려운 작업이었다고 설명했다.

수십억 개의 계정 정보 쌍이 공격자들 사이에서 자유롭게 유통되는 현시대에, 비밀번호만으로는 더 이상 과거와 같은 보호 기능을 제공하지 못한다고 연구원들은 경고한다. 이번 조사의 가장 충격적인 결과 중 하나는, 자신의 노출 정보를 적극적으로 모니터링하는 HIBP의 590만 명의 구독자 중 거의 290만 명이 이번 최신 편집본에 포함됐다는 사실이다. 이는 크리덴셜 스터핑 자료의 광범위한 영향을 단적으로 보여준다.

이러한 유출의 결과는 특히 헬스케어 산업에서 치명적이다. IBM의 '2025년 데이터 유출 비용 보고서'에 따르면, 헬스케어 분야 유출 사고의 평균 재정적 영향은 742만 달러(약 107억 원)로 증가했다. 의료 종사자에 대한 성공적인 크리덴셜 공격은 위협 행위자가 전자 건강 기록(EHR), 환자 정보, 보호 대상 건강 정보가 포함된 시스템에 접근하도록 허용할 수 있으며, 그 결과는 재정적 손실을 넘어 심각한 사회·경제적 악영향으로 이어진다.

계정 정보 유출 위협이 전통적인 보안 조치를 압도하고 있다는 우려가 커지는 가운데, 이번 연구는 공격자가 이러한 취약점을 악용하기 전에 디지털 방어 체계를 현대화해야 한다는 결정적인 경고로 작용한다.

조직은 '비밀번호 없는 인증(passwordless authentication)', '지속적인 모니터링', '적응형 위험 기반 접근'을 추진해야 한다. 개인 역시 자신의 계정 정보를 유지 관리하는 것을 선택이 아닌 필수적인 임무로 받아들이는 선제적 접근 방식이 필요하다. 수십억 개의 계정 정보가 무방비로 순환하는 세상에서, 회복탄력성의 핵심은 침해 발생 후 대응하는 것이 아니라, 아키텍처를 강화하고 인증 프로세스를 최적화하며 보안 인식을 유지함으로써 침해를 '예측'하는 데 달려 있음이 분명해졌다.


박정한 글로벌이코노믹 기자 park@g-enews.com