구글·애플·페북 계정 줄줄이 털렸다는데…지금 당장 비밀번호 바꿔야 하는 이유
등록 2025.06.23 15:03:20수정 2025.06.23 17:00:24
구글·애플·페이스북은 물론 넷플릭스·디즈니플러스까지 대규모 계정 유출
원인은 사용자 기기 감염…수년에 걸친 피싱·악성코드 누적 결과
보안 전문가 "비밀번호 재사용 금지…MFA 등 기본 보안수칙 지켜야"
![[그래픽=뉴시스] 재판매 및 DB금지.](https://img1.newsis.com/2025/02/21/NISI20250221_0001775433_web.jpg?rnd=20250221105341)
[그래픽=뉴시스] 재판매 및 DB금지.
[서울=뉴시스]송혜리 기자 = 전 세계 사용자들의 로그인 정보가 다크웹을 통해 무더기로 유출된 정황이 포착됐다.
구글, 애플, 페이스북 등 주요 글로벌 플랫폼은 물론, 넷플릭스와 디즈니플러스 등 인기 온라인동영상서비스(OTT) 계정까지 줄줄이 털린 것으로 나타났다.
보안 전문가들은 "이러한 초대형 유출은 단순한 사고가 아니라, 계정 탈취, 신원 도용, 표적형 피싱, 랜섬웨어 침입 등 다양한 '사이버 공격의 연료'가 될 수 있다"고 경고했다. 아울러 ▲모든 계정의 비밀번호 즉시 변경 ▲사이트별로 서로 다른 비밀번호 사용 ▲멀티팩터 인증(MFA) 활성화 등 보안 수칙 준수를 강조했다.
역대급 정보 유출…전 세계 인구 두 배 규모
이들 자료를 분석한 결과, 유출된 로그인 정보는 무려 160억건에 달하는 것으로 나타났다. 이는 전 세계 인구 약 80억명의 두 배에 해당하는 규모다. 문제의 데이터 세트에는 구글, 메타(페이스북), 애플 등 글로벌 빅테크 사용자들의 이메일과 비밀번호가 대거 포함된 것으로 알려졌다.
유출된 정보는 특정 기업의 서버가 직접 해킹 당한 것이 아니라, 사용자 기기에 침투한 악성코드를 통해 탈취된 것으로 분석된다. 아울러 이번 사태는 단발적인 해킹이 아닌, 수년에 걸쳐 누적된 피싱과 악성코드 감염 등의 사이버 공격이 축적된 결과로 보인다.
사이버뉴스 측은 "이번 사건은 대규모 악용을 위한 청사진"이라며 "160억 건이 넘는 로그인 정보가 노출됨에 따라, 사이버범죄자들은 계정 탈취, 신원 도용, 고도로 정교한 표적형 피싱 공격 등에 활용할 수 있는 전례 없는 수준의 개인 정보 접근 권한을 갖게 됐다"고 경고했다.
이에 앞서 글로벌 보안기업 카스퍼스키도 온라인동영상서비스(OTT) 계정 관련 대규모 유출 정황을 발표했다.
조사에 따르면 지난해 기준 넷플릭스, 디즈니플러스, 아마존 프라임 비디오 등 OTT 계정 약 703만건이 유출된 것으로 나타났다. 특히 넷플릭스는 563만건으로 피해 규모가 가장 컸고, 한국은 7번째로 많은 피해국으로 꼽혔다.
디즈니플러스의 경우 68만여건, 아마존 프라임 비디오는 1600여건이 유출된 것으로 확인됐다. 브라질, 멕시코, 인도, 독일 등이 주요 피해국으로 나타났으며, 국내 사용자 역시 안전지대는 아니다.
이 역시 OTT 업체의 서버가 직접 뚫린 것이 아니라, 악성코드 감염, 비공식 앱 설치, 피싱 사이트 접속 등 사용자의 부주의가 주된 원인으로 지목됐다.
카스퍼스키는 "기기가 악성코드에 감염될 경우, 단순한 로그인 정보뿐 아니라 쿠키, 카드 정보, 기타 민감 정보까지 함께 수집된다"며 "계정 유출이 신원 도용이나 금융 사기 등 2차 피해로 이어질 수 있다"고 경고했다.
비밀번호 중복 사용 피하고 멀티팩터 인증(MFA) 적극 활용해야
특히 하나의 비밀번호를 여러 사이트에서 재사용할 경우, 한 번의 유출이 연쇄적인 보안 침해로 이어질 수 있다는 점에서 각별한 주의가 필요하다고 당부했다.
이에 따라 전문가들은 모든 계정의 비밀번호를 즉시 변경하고 사이트마다 다른 비밀번호를 사용하도록 권고했다. 아울러 멀티팩터 인증(MFA)을 설정하면 비밀번호 외에도 휴대폰이나 이메일 같은 추가 인증 수단을 거치게 돼, 보안이 더 강화된다. 지문, 얼굴 인식, 핀(PIN) 등으로 로그인하는 패스키(Passkey)를 사용하는 것도 피싱에 강한 방법이다.
또 의심스러운 로그인 기록을 자주 확인하고, 공식 앱스토어 외의 경로로 앱을 설치하지 않는 것이 중요하다. 보안 프로그램은 항상 최신 상태로 유지하도록 하고, exe나 msi 같은 실행 파일은 함부로 다운로드하지 않아야 한다.
마지막으로 로그인할 때 웹사이트 주소(URL)나 브랜드명이 조금이라도 다르면 피싱을 의심해야 하며 공식 유료 서비스를 통해 콘텐츠를 이용하는 것이 안전하다.
보안 업계는 "지금 당장 본인의 계정이 안전한지 확인하고, 의심스러운 로그인 기록이 없는지 점검해보는 것이 피해를 줄이는 첫걸음"이라며 "사소해 보이는 보안 습관이 사이버 범죄의 연결고리를 끊는 핵심이 될 수 있다"고 당부했다.
◎공감언론 뉴시스 [email protected]
