160억 개 비밀번호 유출…애플·구글·페이스북 포함된 ‘사상 최악의 정보 유출’

– “재활용 아닌 신선한 해킹 정보”…FBI·구글 긴급 대응 나서

애플, 구글, 페이스북을 비롯한 주요 온라인 서비스 계정의 비밀번호와 로그인 정보 총 160억 건이 유출된 초대형 해킹 사고가 발생한 것으로 확인됐다. 이는 지금까지 보고된 사이버 보안 사고 중 가장 큰 규모의 유출 사건이다.

보안전문매체 Cybernews와 Forbes, The Independent 보도에 따르면, 이 유출은 30개의 독립된 데이터셋에서 발생했으며, 각 셋에는 수천만 건에서 최대 35억 건 이상의 자격 증명 정보가 포함돼 있는 것으로 나타났다. 연구진은 “이 중 29개는 이전에 유출된 적 없는 ‘신규 데이터’”라고 밝혔다.

해당 데이터는 대부분 URL, 로그인 아이디(이메일), 비밀번호 형식으로 구성되어 있으며, 이를 통해 Apple, Facebook, Google, GitHub, Telegram, 그리고 여러 정부 웹사이트까지 접근이 가능한 수준이었다.

Cybernews 측은 “단순한 유출이 아니라 대규모 공격을 위한 설계도”라며 “사용자 계정 탈취, 피싱 공격, 신원 도용 등의 2차 피해로 이어질 가능성이 크다”고 경고했다.

FBI는 사건 인지 직후 미국 내 사용자들에게 의심스러운 문자메시지의 링크를 열지 말 것을 경고하는 공지를 내렸으며, 구글 역시 수십억 사용자들에게 비밀번호 변경을 권고했다.

이같은 해킹의 정체와 주체는 아직 공식적으로 파악되지 않았지만, Cybernews는 복수의 인포스틸러(정보 탈취 악성코드)가 동원된 것으로 분석하고 있다. 공격자의 정확한 신원은 아직 알려지지 않았다.

한편, 해킹 데이터는 단기간 노출된 뒤 빠르게 제거되어 누가 어떤 용도로 정보를 유포했는지에 대한 단서는 제한적인 상황이다. Cybernews 측은 “발견 당시 이미 상당수의 데이터가 다운로드된 정황이 있다”고 밝혔다.

한편 현재 유출된 데이터가 다크웹 등지에서 유통될 가능성도 제기되고 있으며, 국제 사이버보안 기관들도 모니터링을 강화한 상태다.