지메일 4800만 건 비밀번호 유출...전 세계 1억4900만 건 개인정보 해킹 노출

보안 전문가 제레미아 파울러(Jeremiah Fowler)가 암호화나 비밀번호 보호 없이 방치된 대규모 데이터베이스를 발견하면서 전 세계 1억4900만여 건의 계정 정보가 무방비로 노출된 사실이 확인됐다.

정보 기술 전문 매체 와이어드는 지난 22일(현지시각) 이 데이터베이스가 지메일 4800만 건, 페이스북 1700만 건을 비롯해 가상자산 거래소 바이낸스 계정 42만 건 등을 포함하고 있다고 보도했다. 파울러는 발견 내용을 보안업체 익스프레스VPN(ExpressVPN)과 공유했으며, 해당 데이터베이스는 악성코드로 무차별 수집된 것으로 분석된다.


파울러는 온라인상에서 누구나 접근할 수 있는 상태로 노출된 1억4900만여 건의 계정 정보(96GB)를 발견하고 호스팅 업체에 신고했다. 해당 업체는 이용약관 위반을 근거로 관련 데이터를 즉시 삭제했다.

유출된 정보에는 개인 전자우편과 사회관계망서비스 계정뿐만 아니라 여러 국가의 정부 시스템 접속 정보, 은행 및 신용카드 로그인 정보, 미디어 스트리밍 서비스 계정까지 망라됐다. 파울러는 와이어드 인터뷰에서 "범죄자들에게는 꿈의 목록과 같다"며 "수집된 데이터에는 지메일 계정 4800만 건 외에도 야후 400만 건, 마이크로소프트 아웃룩 150만 건, 애플 아이클라우드 90만 건, 학술 기관 계정 140만 건 등이 포함됐다"고 밝혔다.
이외에도 틱톡(78만 건), 온리팬스(10만 건), 넷플릭스(340만 건) 등 대중 서비스의 계정 정보가 대거 포함됐다. 파울러는 한 달 동안 호스팅 업체와 연락하는 사이에도 해당 데이터베이스가 실시간으로 증가하며 새로운 정보를 축적하고 있었다고 덧붙였다.


보안 전문가들은 이번 정보 유출의 주범으로 인포스틸러(Infostealer) 악성코드를 지목했다. 인포스틸러는 기기를 감염시킨 뒤 사용자가 입력하는 내용을 기록하는 키로깅(Keylogging) 기술로 정보를 가로챈다.

파울러는 "시스템이 각 로그에 고유 식별자를 부여해 자동으로 분류하고 있었다"며 "구매자가 원하는 정보만 골라 살 수 있도록 검색이 쉬운 구조로 설계된 것이 특징"이라고 분석했다.

자동화 도구의 확산은 사이버 범죄의 문턱을 크게 낮추고 있다. 보안 업체 레코디드 퓨처의 위협 정보 분석가 앨런 리스카(Allan Liska)는 "인포스틸러 기반시설을 빌려 쓰는 데 드는 비용은 월 200~300달러(약 29만~43만 원) 수준"이라며 "차 할부금보다 적은 비용으로 누구나 수십만 건의 계정 정보를 손에 넣을 수 있다"고 지적했다.
보안업체 헌트레스의 2025년 사이버 위협 보고서에 따르면 200만 개 이상의 엔드포인트를 분석한 결과 인포스틸러 감지가 전년 대비 104% 증가한 것으로 나타났다. 보안업체 KELA는 최근 보고서에서 2024년에만 430만 개 기기가 인포스틸러에 감염됐고 39억 개의 비밀번호가 유출됐다고 밝혔다.

업계에서는 이러한 데이터베이스가 단순한 정보 유출을 넘어 보이스피싱, 금융 사기, 국가 기밀 탈취 등 2차 범죄의 핵심 자산으로 활용된다는 점에 주목하고 있다. 시장 참여자들 사이에서는 이번 사건이 보안 설정 오류로 방치된 대규모 데이터가 얼마나 치명적인 결과를 초래할 수 있는지 보여주는 대표 사례라는 평가가 나온다.


전문가들은 자동화된 정보 탈취 위협에 대응하기 위해 개인의 능동적인 보안 점검이 시급하다고 강조한다. 우선 '해브 아이 빈 폰(Have I Been Pwned)'과 같은 유출 확인 사이트나 구글의 '비밀번호 검사' 기능으로 본인 계정의 유출 여부를 즉시 파악해야 한다.

특히 비밀번호만으로는 인포스틸러의 침입을 막기 어려운 만큼, 아이디와 비밀번호 외에 별도 앱이나 생체 인식을 거치는 다요소 인증(MFA) 활성화가 필수다. 보안 업계 관계자는 "문자 인증보다 보안성이 높은 구글 OTP 등 앱 기반 인증기를 사용하고, 사이트마다 다른 무작위 비밀번호를 생성하는 관리 도구를 활용하는 것만으로도 대다수 사이버 범죄에서 자산을 보호할 수 있다"고 조언했다.


박정한 글로벌이코노믹 기자 park@g-enews.com