전체메뉴

[애플경제 이보영 기자] 또 다시 사상 최대 규모의 비밀번호가 유출되어, 무려 99억개의 자격증명이 노출되는 사건이 벌어졌다. 유출된 비밀번호는 지난 20년 동안 만들어진 4천개 이상의 데이터베이스를 해킹한 결과로 추정된다.

8일 ‘사이버뉴스’ 등 해외 보안전문 기관과 매체들에 의하면, 해커들은 이처럼 사상 유례가 없는 규모의 비밀번호 모음을 공개해 사이버 보안 전문가들을 놀라게 했다. 이날 해당 해커가 이른바 ‘RockYou2024’라고 제목을 붙인 유출 목록에는 “9,948,575,739개(99억 여개)의 고유한 일반 텍스트 비밀번호가 포함되어 있다”는 안내문이 붙었다.

대화명 ‘오바마케어’ 해커 주도

앞서 지난 주 후반에 해당 비밀번호 모음을 처음 발견한 것은 사이버보안 조사 기관인 ‘사이버뉴스’였다. 소위 ‘오바마케어(ObamaCare)’라는 대화명을 사용하는 누군가가 그날 아침 유명 해킹 포럼에 ‘Rockyou2024.txt’를 게시한 것이다. 문제의 ‘오바마케어’는 이 해킹 포럼에서 지금까지 잘 알려지지 않은 사용자로 파악되었다. 그러나 ‘사이버뉴스’의 조사 결과 이미 그전부터 대학 입학지원서 위조, 온라인 카지노 및 국제 법률 회사 데이터 유출 등의 전과가 뒤늦게 드러나기도 했다.

‘오바마케어’는 해당 게시문에 “올해 ‘크리스마스’가 일찍 찾아왔다”면서 “친구들 고생했어요, 즐겨주세요!”라는 문장을 올렸다. 해킹에 성공한 것을 ‘크리스마스’에 비유하며, 누군가가 함께 사이버범죄를 저지른 공법들과 함께 축하 분위기를 한껏 드러낸 것이다.

‘오바마케어’는 또 “‘RockYou2024’가 ‘RockYou2021’의 업데이트”라고 주장했다. 지난 2021년 이미 대규모로 훔친 비밀번호 모음에다 다시 최근 절취한 것들을 추가했다는 뜻이다. 실제로 ‘RockYou2021’은 2021년 당시 ‘사이버뉴스’도 도난당한 자격 증명을 이용한 최대 규모의 비밀번호 탈취 모음으로 파악, 경고를 발령한 바 있다.

당시 ‘RockYou2021’은 무려 84억 개의 일반 텍스트 비밀번호를 사용한 것이다. 이는 또 그 보다 12년 전인 2009년 당시 수천만 개의 소셜 미디어 자격 증명이 포함된 유출자료를 다시 업데이트한 것이다. 전문가들은 “지난 20년 동안 4,000개가 넘는 데이터베이스를 훔치며 차곡차곡 데이터를 업데이트한 것이 ‘RockYou2024’”이라고 파악하고 있다.

‘크리덴셜 스터핑’ 공격 극성

“‘RockYou2024’는 사이버 공격자에게 ‘크리덴셜 스터핑’ 공격을 수행할 수 있는 기회를 제공한다”는 경고다. 즉, 이용자가 여러 앱에서 흔히 똑같은 아이디와 비밀번호를 사용하는 습관을 이용한 것이다. 일단 다크 웹에서 계정 정보를 많이 확보한 뒤, 이런 수법으로 반복해서 비번을 대입하는 것이다. 그로 인한 피해가 날로 늘어나고 있다는게 전문가들의 우려다.

대부분의 경우 사이버 범죄자는 봇을 활용해, 최종적으로 올바른 비밀번호를 찾아 개인의 계정에 액세스할 수 있을 때까지 로그인 페이지에 자격 증명을 빠르게 실행하곤 한다. 흔히 여러 웹사이트들은 이런 해킹 봇 방지 보호 장치가 포함되어 있다. 또 특정 횟수만큼 잘못된 비밀번호를 입력한 후 사용자를 계정에서 잠그는 기능이 있다. 사이버 범죄자가 일상적인 인터넷 사용자의 뱅킹 도구나, 소셜 미디어 계정에 무차별 공격을 가하는 것을 허용하지 않는 경우가 대부분이다.

그러나 ‘RockYou2024’는 그 목록의 범위가 너무나 광범위하기 때문에 도난당한 자격 증명이 유출된 모든 웹 사이트를 나열하는 것은 실용적이지 않다는 설명이다. 이를 처음 발견한 ‘사이버뉴스’는 대신에 유출된 비밀번호 도구에 노출된 자격 증명을 대입할 예정이다. 이를 통해 비번 도구는 330억 개가 넘는 도난당한 비밀번호 데이터베이스에 대한 입력 내용을 확인하게 된다. 

사이버뉴스는 “도구 사용이 불편한 사용자들은 일단 데이터가 침해된 상황을 전제하고, 가장 영향력 있는 계정의 비밀번호를 변경하는 것이 바람직하다”면서 “모든 인터넷 사용자는 가능하면 다단계 인증을 사용하고, 계정마다 다른 비밀번호를 사용할 것”을 권장했다.