새로운 데이터 덤프 속 이메일 주소와 비밀번호 220억 건
이전 데이터 사고에서 나온 정보 새로 정리된 듯...보안 위협 늘어난 것

[보안뉴스 문가용 기자] 독일의 보안 업체인 하이즈 시큐리티(Heise Security)가 220억 건의 이메일 주소와 비밀번호를 발견했다. 현재 이 정보는 컬렉션 2-5(Collection 2-5)라는 이름으로 온라인을 돌아다니고 있다. 그것도 무료로 공개되어 있다.


얼마 전 컬렉션 1(Collection 1)이라는 데이터 덤프가 큰 관심을 끈 바 있다. 이 덤프에는 7억 7300만 개의 고유한 이메일 주소가 들어 있었다. 총 용량은 600GB였다. 단일 사건을 통해 유출된 정보가 아니라 과거 발생한 여러 사건을 통해 유출된 정보를 누군가 정리해서 모아둔 것으로 보였다.

하이즈에 따르면 컬렉션 2-5 역시 과거 발생한 정보 유출 사고들에서 나온 정보들을 모은 것이라고 한다. 그러나 컬렉션 2-5에 대한 소식은 컬렉션 1이 발견되었을 때만큼 충격적이지 않다는 게 업계의 반응이다. 이미 컬렉션 1을 통해 이러한 일이 벌어질 것이 예견되었기 때문이다. 게다가 과거 데이터를 다시 정리해 퍼트리는 범죄 사례는 전에도 있었다.

그렇다고 위협 수위가 그대로인 건 아니다. 하이즈는 “컬렉션 2-5의 출현으로 사이버 공격이 늘어날 가능성은 더 높아졌다”고 말한다. “새로운 이메일 주소와 비밀번호라는 크리덴셜 정보가 대규모로 해커들의 손에 넘어간 겁니다. 공격자 입장에서는 시험해보고 대입해볼 수 있는 재료가 늘어난 것이죠. 심지어 컬렉션 1은 다크웹에서 거래되던 건데, 컬렉션 2-5는 무작위로 퍼지고 있어요.”

그러면서 하이즈는 “그리 놀랄 일이 아니”라고 말한다. “이런 식으로 데이터가 대량으로 정리되어 공유되는 일은 일반인들이 생각하는 것보다 훨씬 자주 벌어집니다. ‘새로운 덤프’라는 식으로 광고되고 거래되죠.”

그러나 이 새로운 덤프들 중 상당 수는 오래된 데이터라고 한다. “오래된 데이터, 이미 공개된 데이터를 집어넣어 데이터의 양과 크기만 부풀린 경우가 많습니다. 몇 천만 건의 데이터가 들어있다고 하면 관심을 쉽게 끄니까요.”

또 다른 보안 업체 오스로직스(Authlogics)의 CEO인 스티븐 홉(Steven Hope)은 “그래서 이런 데이터가 방출되었을 때, 두 가지 반응이 나온다”고 말한다. “흔히 있는 일이며, 이미 공개된 데이터일 뿐이라고 반응하는 사람이 있고, 큰일이 발생했다며 사용자들이 위기에 처했다는 반응을 보이는 사람이 있습니다.”

홉은 “둘 다 맞는 말”이라고 정리한다. “하지만 그 오래된 데이터 중에도 적으나마 새 데이터가 분명히 섞여 있는 것도 맞고, 공격자들이 가지고 놀 수 있는 재료가 생긴 것도 맞습니다. 공격자들은 이걸 가지고 실험을 해볼 것이고, 그러므로 공격 시도는 증가할 것입니다. 다만 그 성공률이 비약적으로 높아지지는 않을 겁니다. 그러니 사용자 입장에서는 이런 일을 계기로 자신들의 크리덴셜과 계정을 한 번 더 점검해야 하는 것이 옳습니다.”

3줄 요약
1. 크리덴셜 정보가 220억 건, 사용자들에게는 가지고 놀 재료 풍부히 생긴 것.
2. 데이터 덤프가 발견되거나 거래되는 것, 생각보다 흔히 일어나는 일.
3. 이런 일 계기로 계정 점검하고 비밀번호 바꿔주는 것이 권장됨.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>