유출 계정 160억 건 중 90%가 '신규·유효'…글로벌 플랫폼 대거 포함
다크웹·텔레그램서 국가별 유통…"2차 피해 확산 우려"
[서울=뉴스핌] 양태훈 기자 = 전 세계적으로 160억 건이 넘는 계정 정보가 다크웹 등에서 거래되는 초대형 보안 사고가 발생했다. 이번 유출은 특정 기업 서버가 아닌, 인포스틸러(정보 탈취 악성코드)에 감염된 이용자 기기에서 수년간 누적된 정보가 탈취된 결과로 분석된다. 특히 기존 유출과 달리 '신규·유효' 데이터가 대부분을 차지해 피해 확산이 우려된다.
24일 글로벌 보안업체 카스퍼스키에 따르면, 최근 전 세계 온라인 동영상 서비스(OTT) 이용자 계정 약 700만 건이 유출된 것으로 나타났다.
유출 대상에는 넷플릭스, 디즈니플러스, 아마존 프라임 비디오 등 주요 스트리밍 플랫폼이 포함됐다. 카스퍼스키는 이번 사고가 플랫폼 서버 해킹 때문이 아니라, 여러 사이트에서 동일한 아이디와 비밀번호를 사용하는 이용자들이 악성코드에 감염되거나 피싱·비공식 앱 사용 등으로 인해 자격 증명이 탈취된 데 따른 것이라고 설명했다.
카스퍼스키 '디지털 풋프린트 인텔리전스'팀에 따르면, 지난해에만 총 703만 5,236건의 스트리밍 계정 유출이 확인됐다. 이 중 넷플릭스 계정이 563만 건에 달했으며, 한국은 국가별 유출 건수 기준으로 7위를 기록했다.
카스퍼스키 측은 "공격자들은 감염된 기기에서 계정 정보뿐만 아니라 쿠키, 카드 정보 등 민감한 데이터를 수집해 암시장에 판매하거나 무상 배포하고 있다"며 "이로 인해 신원 도용, 금융 사기 등 2차 피해로 이어질 수 있다"고 경고했다. 이어 "비공식 앱과 피싱 공격에 대한 경계는 물론, 기기 보안 강화와 비밀번호 주기적 변경, 공식 채널 이용 등의 보안 습관이 필요하다"고 강조했다.
앞서 사이버보안 전문 매체 '사이버뉴스'도 최근 온라인에 유포된 30개 파일에서 총 160억 건에 달하는 로그인 정보를 확인했으며, 해당 정보에는 구글, 애플, 페이스북 등 글로벌 플랫폼의 사용자 비밀번호도 포함돼 있다고 보도한 바 있다.
보안 업계는 이번 유출이 단일 해킹 사고가 아닌, 인포스틸러로 불리는 악성코드에 감염된 사용자 기기에서 장기간에 걸쳐 인증 정보가 수집돼 누적된 결과로 진단하고 있다.
인포스틸러는 웹브라우저에 저장된 아이디, 비밀번호, 쿠키, 세션 토큰 등을 수집해 해커의 서버로 전송하는 방식이다. 이번에 유출된 데이터는 총 30여 개의 대형 데이터셋으로 구성돼 있으며, 일부 데이터셋은 한 세트에 35억 건이 넘는 기록이 포함된 것으로 알려졌다. 특히 기존에 유출된 적 없는 '신규·유효' 정보가 90% 이상을 차지해 심각성이 크다는 평가가 나온다.
플랫폼 업계 한 관계자는 "이번 유출은 서버 해킹이나 앱 자체의 문제라기보다, 사용자 기기에 저장된 자동 로그인 정보가 탈취돼 다양한 서비스에 무작위 로그인 시도가 이뤄진 사례"라며 "자동 로그인 해제와 주기적인 비밀번호 변경 등 이용자 스스로의 보안 습관이 무엇보다 중요하다"고 강조했다.
감염된 기기에서는 계정 정보 외에도 쿠키, 결제 정보 등 민감한 데이터가 함께 유출돼 2차 피해로 이어질 가능성이 높다. 이에 넷플릭스는 한국어 민원 채널을 연중 운영하며, 이상 활동 감지 시 사전 방어 조치를 취하고 있다.
넷플릭스 관계자는 "회원의 정보 보안을 지키는 것이 최우선 과제이며, 계정에서 발생할 수 있는 이상 활동에 대해 사전 방어 조치를 하고 있다"며 "비밀번호를 타인과 공유하지 않고 주기적으로 변경할 것을 권장한다"고 전했다.
한편, 카스퍼스키는 최근 구글 플레이와 애플 앱스토어에서 신종 트로이목마형 스파이웨어 'SparkKitty'도 발견했다고 밝혔다. 이 악성코드는 암호화폐·도박 관련 앱이나 트로이화된 틱톡 앱 등에 숨어 퍼지며, 스마트폰의 사진, 기기 정보, 스크린샷 등 민감한 데이터를 공격자에게 전송한다. 또 광학문자인식(OCR) 모듈까지 탑재해 이미지 속 암호화폐 지갑 복구 구문이나 비밀번호 등도 추출할 수 있어 기존 악성코드보다 위협이 더 크다는 분석이다.
카스퍼스키 측은 "민감 정보가 담긴 스크린샷을 갤러리에 저장하지 말고, 비밀번호는 전문 관리 앱으로 관리해야 한다"며 "공식 앱스토어 외의 출처에서 앱을 다운로드하지 않는 것이 기본적인 보안 수칙"이라고 조언했다.
보안업계는 이번 사태를 계기로 기존의 '로그인 시점 인증' 중심 보안 체계의 한계를 지적하고, 제로트러스트(Zero Trust) 보안 모델의 확산 필요성을 강조하고 있다. 제로트러스트 모델은 계정이 유출돼도 추가 인증을 요구하거나 의심스러운 접속을 차단해 피해 확산을 막을 수 있는 구조다. 사용자의 행동 패턴, 기기 상태, 위치 정보 등을 실시간으로 모니터링하고, 평소와 다른 접속이 탐지되면 즉시 인증을 요청하거나 세션을 종료하는 방식으로 작동한다.
보안업체 한 관계자는 "과거에는 한 번 인증을 마치면 세션이 유지되는 방식이 일반적이었지만, 이제는 사용자와 단말기를 신뢰하지 않고 지속적인 검증과 최소 권한 원칙을 적용하는 제로트러스트 모델이 필요하다"고 전했다.
dconnect@newspim.com
