;)
;)
보안업체 멀웨어바이츠 "전화번호·집주소 털렸다… 비밀번호 재설정 공격 감지"
해커 "API 허점 노려 정보 수집"… 메타는 '묵묵부답', 2단계 인증 필수
전문가 "택배·부고 문자 주의하고 KISA '털린 내 정보 찾기' 조회해야"
해커 "API 허점 노려 정보 수집"… 메타는 '묵묵부답', 2단계 인증 필수
전문가 "택배·부고 문자 주의하고 KISA '털린 내 정보 찾기' 조회해야"
이미지 확대보기
사이버 보안 전문 매체 디비아는 지난 10일(현지시각) 보안업체 멀웨어바이츠의 보고서를 인용해 대규모 데이터 유출 실태와 위험성을 보도했다.
다크웹 장터에 나온 1750만 명의 '디지털 신분증'
멀웨어바이츠가 공개한 보고서를 보면 현재 다크웹 내 사이버 범죄 시장에서는 인스타그램 이용자 1750만 명의 데이터베이스(DB)가 활발하게 거래되고 있다. 유출된 정보는 단순한 아이디(ID)를 넘어 이메일 주소, 전화번호, 물리적 주소 등 개인을 특정할 수 있는 민감한 내용을 담고 있다.
이번 유출 사건의 배후로 지목된 판매자 '서브켁(Subkek)'은 해당 데이터가 지난해 4분기(10~12월) 동안 수집된 최신 자료라고 주장했다. 그는 인스타그램의 시스템 취약점이나 공공 응용프로그램 인터페이스(API)의 허점을 이용해 데이터를 긁어모으는 '스크래핑(Scraping)' 방식을 썼다고 밝혔다. 다크웹 게시물에는 실제 데이터의 유효성을 증명하는 샘플 기록까지 공개된 상태다.
보안 업계는 이번 사태가 단순한 정보 유출에 그치지 않고 실질적인 해킹 공격으로 이어지고 있다고 분석했다. 실제로 데이터 유출 직후 다수의 이용자가 자신이 요청하지 않은 '비밀번호 재설정' 알림을 받았다고 신고했다. 이는 해커들이 확보한 이메일과 아이디 정보를 이용해 계정 탈취를 시도하는 전형적인 공격 패턴이다. 하지만 인스타그램의 모회사인 메타(Meta) 측은 현재까지 공식 입장을 내놓지 않고 있다.
'크리덴셜 스터핑' 공포… 한국형 피싱 주의보
전문가들은 이번 유출이 한국 이용자에게 미칠 파장이 만만치 않을 것으로 보고 있다. 유출된 데이터에 포함된 전화번호와 이메일은 한국형 보이스피싱이나 스미싱(문자결제 사기) 범죄의 기초 자료로 쓰일 가능성이 크다. 특히 택배 배송 조회나 모바일 청첩장, 부고장을 가장한 악성 링크 문자가 급증할 수 있어 각별한 주의가 필요하다.
더 큰 문제는 '크리덴셜 스터핑(Credential Stuffing)' 공격이다. 이는 이용자들이 여러 사이트에서 동일한 아이디와 비밀번호를 사용한다는 점을 노려, 유출된 인스타그램 계정 정보를 국내 포털 사이트나 쇼핑몰, 금융 앱 등에 무차별적으로 대입해 로그인하는 해킹 기법이다. 인스타그램 정보가 털리면 엉뚱한 곳에서 금전적 피해가 발생할 수 있는 구조다.
국내 보안업계 관계자는 "해외 소셜미디어에서 유출된 정보는 가공 단계를 거쳐 2~3일 내에 국내 범죄 조직의 손에 들어가는 경우가 많다"며 "단순히 비밀번호만 바꾸는 것으로는 부족하며, 근본적인 인증 체계를 강화해야 한다"고 지적했다.
"2단계 인증이 최후의 방패"… 계정 보안 재점검해야
피해를 막으려면 이용자가 직접 보안 장벽을 높여야 한다. 보안 전문가들은 아이디와 비밀번호 외에 문자 메시지나 인증 앱으로 본인을 한 번 더 확인하는 '2단계 인증(2FA)' 활성화를 가장 시급한 조치로 꼽았다. 해커가 비밀번호를 알아내더라도 2단계 인증을 설정해 두면 계정에 접속하기 어렵다.
이와 함께 타사 서비스와 중복되지 않는 고유하고 복잡한 비밀번호로 변경하고, 인스타그램 계정에 연동된 불필요한 제3자 앱 권한을 삭제하는 '계정 다이어트'도 필요하다. 인스타그램을 사칭한 이메일이나 문자 메시지 내 링크는 절대 누르지 않는 습관도 중요하다.
한국인터넷진흥원(KISA) 관계자는 "KISA가 운영하는 '털린 내 정보 찾기' 서비스를 이용하면 자신의 계정 정보 유출 여부를 확인할 수 있다"며 "주기적으로 정보 유출 여부를 확인하고 비밀번호를 바꾸는 것만이 내 자산을 지키는 지름길"이라고 조언했다.
박정한 글로벌이코노믹 기자 park@g-enews.com
