이메일 및 비밀번호 침해 여부 확인 서비스 제공하는 트로이 헌트가 발견
2008~2015년 사이에 발생한 각종 사고를 통해 유출된 정보로 보여
국내 보안전문가 “유출된 개인정보 DB 일부에 한국인 정보 100만개 포함”

[보안뉴스 문가용 기자] 폴더 하나가 인터넷 공간에 올라왔다. 7억 7천 3백만 개의 이메일 주소와 2천 1백만 개의 고유한 비밀번호들이 저장되어 있는 1만 2천 개의 파일들이 이 폴더 안에 저장되어 있었다. 2008년부터 발생한 여러 건의 데이터 침해 사고로부터 나온 정보들로 보인다.

국내 보안전문가에 따르면 유출된 개인정보 DB 일부 중에는 지자체 산하기관을 포함한 한국 웹사이트 50곳에서 유출된 개인정보 등 한국인 정보 100만건 이상이 포함된 것으로 추정된다. 더욱이 한국인 정보는 DB 일부에서 나온 것이라 해당 DB 전체를 확인할 경우 유출 피해 한국인은 훨씬 더 많을 것으로 우려된다.


이 폴더는 총 87GB에 달했고, 보안 전문가 트로이 헌트(Troy Hunt)가 메가(Mega)라는 클라우드 서비스에서 발견했다. 그리고 자신이 운영하는 무료 이메일 침해 여부 확인 사이트인 ‘해브 아이 빈 폰드(Have I Been Pwned, HIBP)’의 데이터베이스에 업로드했다. 비밀번호들은 폰드 패스워즈(Pwned Passwords, PP)라는 비밀번호 유출 여부 확인 사이트의 데이터베이스에 업로드했다.

이런 방대한 데이터 중 1억 4천만 건의 이메일 주소들과 비밀번호의 절반 정도는 여태까지 한 번도 등장하지 않았던 새로운 것으로, 그 동안 유지되어 왔던 HIBP 및 PP 데이터베이스에 처음으로 등록됐다. 이제 PP의 데이터베이스에는 5억 개가 넘는 비밀번호들이 저장되어 있다고 한다.

헌트는 블로그 게시글을 통해 자신이 메가에서 발견한 폴더에는 침해되거나 해시 처리가 무력화된 데이터베이스 2000개 이상으로부터 나온 정보가 저장되어 있었다고 설명했다. “대략적으로 확인한 결과 2008년에서 2015년 사이에 벌어진 침해 사고로 유출된 정보임을 알 수 있었습니다. 그러나 침해 사고만이 데이터 유출의 원인은 아닐 가능성이 높습니다.”

아직까지 누가 이 많은 정보를 한 폴더에 체계적으로 정리해 놓았는지는 밝혀지지 않았다. 공격자들은 이러한 데이터셋을 클라우드 서비스에 마련해놓고, 자동화된 크리덴셜 스터핑(credential stuffing) 공격을 즐겨 실행한다. 즉, 이런 데이터를 기반으로 특정 기업이나 기관에 무작위로 로그인을 시도해보는 것이다. 85GB나 되는 데이터를 손으로 입력하기는 힘들었지만 최근 자동화와 클라우드 기술이 발전하면서 크리덴셜 스터핑 공격이 매우 간단해졌다.

메가에서 발견된 이 폴더와 파일들은 헌트의 발견 이후 사라졌다. 헌트에 의하면 “이 데이터셋은 한 인기 높은 해커 포럼에서 판매 중에 있다”고 한다. “파일들이 저장된 루트 폴더의 이름은 ‘1번 컬렉션(Collection #1)’이었습니다. 그래서 저는 이 침해 사고를 ‘1번 컬렉션’이라고 언급하기 시작했습니다.

1번 컬렉션 사건은 이메일 주소와 비밀번호로 이뤄진 침해 사건 중 가장 큰 규모에 속한다. 얼마 전 메리어트 인터내셔널(Marriott International)에서 발생한 사고에서는 3억 8천만 개의 기록이 새나갔었다. 야후의 명성과 회사 가치를 크게 떨어트린 유출 사고에서는 30억 개의 사용자 계좌가 도난당했었다. 성인 사이트인 애덜트 프렌드 파인더(Adult Friend Finder)에서는 4억 1천 2백만 개의 계좌에서 피해가 발생하기도 했다.

이런 대규모 유출 사고가 자꾸만 발생하는 것에 대해 전문가들은 “비밀번호로만 보호되는 계정이 얼마나 약한지를 드러낸다”고 분석한다. 최근 마케츠 앤 마케츠(MarketsandMarkets)에서 조사, 발표한 보고서에 의하면 이러한 이유로 다양한 산업과 정부 기관들에서 다중 인증를 요구하는 목소리가 높아지고 있다고 한다. 그래서 앞으로 다중 인증 시장은 매년 15.5% 성장할 것으로 예상되며, 2022년 120억 달러 규모가 될 것이라고 보고 있다.

ID 관리 및 접근 제어 전문 기업인 유니켄(Uniken)의 CEO 비말 간디(Bimal Gandhi)는 “크리덴셜의 대량 유출은 조직들에 있어 다채로운 위협을 가할 수 있다”고 말한다. “인터넷 사용자 대부분 비밀번호를 재사용합니다. 개인적인 뭔가에 접근할 때나, 공공의 자산에 접근할 때 구분하지 않고 말입니다. 이것만으로도 이번 유출 사건의 잠재적 위험성은 크다고 볼 수 있습니다.”

그러면서 간디는 “일부 고객이 A라는 회사에서 사용하는 크리덴셜을, B라는 회사에 적용시킬 수 있다”고 설명한다. “무사히 통과될 가능성이 높습니다. 그러면 B라는 회사는 계정 탈취 공격을 당해, 사실상 악성 내부자를 가지게 되는 것과 다름이 없습니다. 게다가 이 공격은 자동으로 실행될 때가 많기 때문에 공격자들로서는 많은 자원을 투자할 필요도 없습니다. 성공 시 효과는 매우 좋지만요.”

게다가 피싱 공격에도 이 크리덴셜 정보는 귀중한 가치를 발휘한다. 보안 업체 트립와이어(Tripwire)의 부회장인 팀 얼린(Tim Erlin)은 “침해된 크리덴셜을 가지고 이메일 협박 공격을 시도하는 사례가 늘어나고 있다”며 “헌트가 메가에서 발견한 데이터를 누군가 먼저 확보했다면 앞으로 또 새로운 이메일 협박 공격이 등장할 수 있다”고 설명했다.

그나마 이번에 발견된 데이터가 비교적 오래되었다는 것이 조금은 긍정적이다. 비밀번호를 주기적으로 변경해왔던 조직이라면 오래된 비밀번호의 유출이 크게 위협적으로 다가오지 않을 것이라고 얼린은 말한다. “사실 기업에서 사용하는 비밀번호는 그래도 잘 바꾸는 편입니다. 개인용 이메일 비밀번호는 정말 안 바꿔요. 이번 데이터에 개인 이메일 크리덴셜이 있다면, 아마 오래되었어도 잘 작동하는 것이 많을 겁니다.”

3줄 요약
1. 최근 메가라는 클라우드에서 한 폴더가 발견됨. 85GB의 이메일 주소와 비밀번호 저장되어 있었음.
2. 이 데이터는 ‘해브 아이 빈 폰드’와 ‘폰드 패스워즈’라는 서비스에 업로드 됨.
3. 2008~2015년 사이에 발생한 유출 사고 및 데이터 관리 오류로 침해된 2000여 개 데이터베이스에서 나온 정보로 보임.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>