160억건 로그인 정보 유출… 개인PC 감염 통해 ‘클라우드 경로’로 확산

사이버보안 정보매체 사이버뉴스(Cybernews)가 최근 발표한 보고서에 따르면, 클라우드에 노출된 공개 저장소에서 무려 160억 건에 달하는 사용자 로그인 정보가 발견되며 업계의 경각심을 불러일으키고 있다. 그러나 이번 사건은 특정 대기업의 단일 해킹으로 인한 것이 아니라, 약 30개 데이터셋에서 수집된 정보 도합이라는 점에서 기존 대규모 유출과 성격이 다르다.

이번에 확인된 데이터는 대부분 정보탈취 악성코드(인포스틸러)로 감염된 개인 사용자 기기에서 추출된 것으로 확인됐다. 해당 악성코드는 주로 피싱 이메일, 악성 다운로드 파일, 크랙 소프트웨어 등을 통해 유포되며, 감염된 이용자의 로그인 정보를 수집해 클라우드 저장소에 업로드하고 이를 외부에서 접근 가능하도록 설정하는 방식으로 유출이 일어난 것으로 보인다.

사이버뉴스는 엘라스틱서치(Elasticsearch) 인스턴스와 클라우드 저장소 등 다수의 보안 설정이 부실한 저장소에서 해당 정보를 발견했다. 이 중 가장 큰 규모의 데이터셋은 30억 건 이상으로, 전체 160억 건 가운데 중복 계정과 재사용 패스워드가 다수를 차지하지만, 여전히 수억 명 이상의 고유 사용자 정보가 포함됐을 가능성이 크다는 분석이다.

특히 이번 유출의 위험성을 높이는 요소는 정보의 ‘신선도’다. 일반적으로 유출 후 오랜 시간이 흐르면 계정 정보의 유효성이 떨어지지만, 이번에 발견된 정보는 상당 부분 최근에 수집된 것으로 나타나 실제 피싱 공격이나 크리덴셜 스터핑(일괄 로그인 시도) 등에 악용될 가능성이 상당히 높다.

사이버뉴스는 이 사건이 통상적인 의미의 기업 데이터 유출 사건과는 다르다고 강조했다. 구글(GOOGL), 페이스북(META), 애플(AAPL) 등 주요 플랫폼이 직접 해킹된 흔적은 없으며, 피해 정보 역시 사용자의 기기 보안을 뚫어 수집된 것이다. 전문가들은 개인이 숙지해야 할 보안 수칙의 중요성을 다시 한번 환기시키고 있다.

이번 사례는 2024년 초 공개된 이른바 ‘모든 유출의 어머니(Mother of All Breaches)’ 사건과도 비교된다. 당시엔 260억 건의 정보가 하나의 통합 데이터셋으로 집계됐고, 링크드인, 트위터, 드롭박스, 어도비 등 잘 알려진 플랫폼에서 유출된 과거 데이터가 중심이었다. 반면 이번 사건은 여러 출처에서 수집된 분산형 데이터셋이지만, 정보의 구조화 정도와 최신성이 높아 실질적인 위협은 결코 작지 않다.

애플리케이션 보안 기업 앱오미니(AppOmni)의 공동창업자 브라이언 소비(Brian Soby)는 이번 유출 정보가 “기존 보안 체계를 무력화할 수 있는 사이버 범죄자의 로드맵”이라며, “SaaS 서비스나 퍼블릭 클라우드에 로그인하는 모든 시도가 해킹의 대상이 될 수 있다”고 경고했다.

사이버뉴스 측은 노출된 클라우드 저장소가 보도 이후 빠르게 제거됐다고 밝혔지만, 한번 유출된 인증 정보는 다크웹이나 해커 포럼, 텔레그램 채널 등을 통해 무한 복제·유통되는 만큼, 사용자 개인의 자발적인 조치 없이는 위험을 피하기 어렵다는 지적이 나온다.

2차 공격을 막기 위해 비밀번호 변경과 2단계 인증 활성화 등 기본적인 사이버 위생이 요구되며, 기업 차원에서는 탐지 솔루션 강화를 통한 전방위 감시가 시급하다는 목소리가 높아지고 있다.