최근 데이터 유출 사고로 애플, 구글, 페이스북, 텔레그램, 깃허브 등 온라인 플랫폼에서 160억 개 이상의 로그인 자격 증명이 노출되어 암호화폐 보안과 디지털 자산 관리에 심각한 영향을 미치고 있다고 연구진이 발표했다.
19일(현지시간) 크립토뉴스에 따르면, 최근 데이터 유출로 애플(Apple), 구글(Google), 페이스북(Facebook), 텔레그램(Telegram), 깃허브(GitHub) 등 온라인 플랫폼에서 160억 개 이상의 로그인 자격 증명이 노출되었다. 이 유출을 발견한 사이버뉴스(Cybernews) 연구팀은 이를 기록상 가장 큰 자격 증명 덤프 중 하나로 설명하며 온라인 사용자, 암호화폐 보안, 디지털 자산 관리에 심각한 영향을 미친다고 밝혔다.
연구진에 따르면 이번 유출은 단일 사건이 아니라 정보 탈취 악성코드, 자격 증명 스터핑 공격, 이전에 보고되지 않은 유출로부터 수집된 데이터셋의 조합이다. 이러한 데이터셋 중 일부는 자체적으로 최대 35억 개의 항목을 포함했으며, 평균 데이터셋은 약 5억 5천만 개의 기록을 보유했다. 연구진은 2024년 초부터 데이터를 추적해왔으며, 이전에 공개적으로 공개되지 않은 것들을 포함해 최소 30개의 노출된 세트를 발견했다.
사이버뉴스 팀은 "이것은 단순한 유출이 아니라 대량 악용의 청사진"이라고 밝혔다. 그들은 "160억 개 이상의 로그인 기록이 노출되면서 사이버 범죄자들은 이제 계정 탈취, 신원 도용, 고도로 표적화된 피싱에 사용할 수 있는 개인 자격 증명에 전례 없는 접근권을 갖게 되었다"고 덧붙였다.
데이터의 구조와 최신성이 이번 유출을 특히 위험하게 만든다. 오래되고 재활용된 유출과 달리 이 데이터의 대부분은 최근 현대적인 정보 탈취 악성코드에 의해 수집되어 사용자들에게 긴급한 암호화폐 보안 위협을 제기한다. 데이터는 일반적으로 URL별로 정리된 로그인 세부정보와 관련 사용자명, 비밀번호, 쿠키, 심지어 토큰까지 포함한다.
일부 데이터셋은 6천만 개 기록 덤프와 연결된 텔레그램과 같은 특정 서비스를 가리킨다. 러시아 연방과 연결된 것으로 추정되는 또 다른 데이터셋은 4억 5천 500만 개 이상의 기록을 보유했다. 여러 항목이 클라우드 서비스, 정부 포털, 비즈니스 계정과 관련된 것으로 보인다.
대부분의 데이터는 보안되지 않은 엘라스틱서치(Elasticsearch) 데이터베이스와 객체 스토리지 인스턴스에서 발견되었다. 이들은 짧은 기간 동안만 노출되었지만 연구진이 내용을 복사하기에는 충분했다. 데이터셋의 출처는 불분명하지만 전문가들은 최소한 일부는 범죄 행위자들에 의해 편집되었다고 믿고 있다.
이 규모에서 자격 증명 유출은 암호화폐 보안에 직접적인 위협이다. 공격자들은 피싱 사기, 랜섬웨어, 비즈니스 이메일 손상 전술, 암호화폐 지갑 및 거래 플랫폼에 대한 무단 접근을 배포할 수 있다. 다단계 인증(MFA)이 없는 사용자들은 특히 취약하다.
연구진은 "토큰, 쿠키, 메타데이터가 포함된 오래된 정보 탈취 로그와 최근 로그의 포함은 다단계 인증이나 자격 증명 위생 관행이 부족한 조직에게 이 데이터를 특히 위험하게 만든다"고 덧붙였다.
중복 기록으로 인해 영향을 받은 사람들의 전체 수를 결정하는 것은 불가능하지만, 이 규모는 작은 성공률이라도 수백만 개의 손상된 계정으로 이어질 수 있음을 의미한다. 특히 암호화폐 사용자들은 신속하게 행동할 것을 권고받고 있다. 지갑 서비스와 거래소가 종종 주류 이메일 제공업체나 클라우드 서비스와 연결된 자격 증명에 의존하기 때문에 어떤 유출이든 직접적으로 자산 도용으로 이어질 수 있다.
사이버뉴스는 기본적인 사이버 위생의 중요성을 강조했다. 사용자들은 즉시 비밀번호를 변경하고, 가능한 곳에서 다단계 인증을 켜고, 장치에서 악성코드를 스캔해야 한다. 연구팀은 "사용자들이 이러한 유출의 존재에 미칠 수 있는 영향은 거의 없다"면서도 "자신의 보안에 대해 사전 예방적으로 대응하는 것이 여전히 최선의 방어책"이라고 언급했다.
보고 시점 현재 유출된 데이터베이스에 대해 책임을 주장한 단일 행위자는 없다. 하지만 몇 주마다 새로운 데이터셋이 등장하면서 연구진은 이것이 전체 암호화폐 보안 생태계를 위협하는 정교한 정보 탈취 운영의 증가하는 추세를 반영한다고 말한다. 현재로서는 이 유출이 디지털 생활이 얼마나 노출될 수 있는지, 그리고 도난된 자격 증명이 얼마나 빨리 현실 세계의 결과로 바뀔 수 있는지에 대한 뚜렷한 경고로 남아 있다.
이러한 경고는 사이버 위협 추적업체 다크 웹 인포머(Dark Web Informer)의 3월 27일 보고서에 따르면 다크 웹의 위협 행위자들이 주요 암호화폐 거래소 제미니(Gemini)와 바이낸스(Binance) 사용자들의 개인 데이터를 판매한다고 주장하는 최근 사건으로 뒷받침될 수 있다.
"AKM69"로 알려진 위협 행위자는 주로 미국, 영국, 싱가포르 출신의 이름, 이메일, 전화번호, 위치 데이터를 포함한 10만 개의 제미니 기록을 제공한다고 주장하고 있다. 또 다른 판매자인 "kiki88888"은 13만 2천 개의 바이낸스 사용자 기록을 나열했지만, 출처는 거래소 유출이 아닌 정보 탈취 악성코드인 것으로 보인다. 거래소 자체의 확인된 유출은 없지만 이 사건은 도난된 자격 증명이 종종 피싱, 사기, 지갑 복구 사기에 재사용되는 암호화폐 보안에 대한 진화하는 위협을 보여준다.