[보안뉴스 강현주 기자] 넷플릭스 등 주요 스트리밍 서비스 계정 700만개 이상이 침해 당한 것으로 나타났다.
글로벌 사이버보안 기업 카스퍼스키(한국 지사장 이효은)는 2024년에 주요 스트리밍 서비스의 유출된 크리덴셜(자격증명)을 분석한 결과 703만5236건이라고 5일 발표했다.
▲침해된 Netflix 계정의 국가별 분포[자료: 카스퍼스키]
이 회사 디지털 풋프린트 인텔리전스팀은 넷플릭스와 애플TV+, 디즈니플러스, 아마존 프라임비디오, 맥스 등 주요 스트리밍 서비스를 대상으로 분석했다.
탈취된 크리덴셜들은 해당 스트리밍 플랫폼을 직접 해킹해서 얻은 것이 아니라, 다른 경로에서 더 큰 규모의 탈취를 통해 수집된 것이다. 사용하는 기기의 악성코드 감염과 피싱 사이트, 비공식 앱 사용 등을 통해 로그인 정보가 외부에서 탈취돼 유출된 것이다.
Z세대가 이용하는 대표적인 스트리밍 플랫폼인 넷플릭스에서 침해된 계정은 563만2694건이다. 디즈니플러스는 68만850건, 아마존 프라임 비디오는 1607건이다.
기기가 한 번 감염되면, 사이버 범죄자들은 스트리밍 앱에서 멈추지 않는다. 악성코드는 계정 크리덴셜과 쿠키, 카드 정보 등 민감한 데이터를 수집한다. 이는 암시장 포럼에 판매되거나 유출된다. 공격자가 명성을 쌓기 위해 데이터를 무상으로 배포하기도 한다.
넷플릭스 비밀번호 유출로 시작해 동일 크리덴셜을 여러 서비스에서 사용하는 ‘크리덴셜 스터핑’ 위험에 노출될 수 있다. 이는 디지털 침해와 신원 도용, 금융 사기로 급속히 확산될 수 있다.
폴리나 트레티아크 카스퍼스키 디지털 풋프린트 인텔리즌스 분석가는 “오늘날 스트리밍 계정을 보호한다는 것은 단순히 비밀번호를 안전하게 관리하는 것 이상”이라며 “기기를 보호하고 의심스러운 다운로드를 피하며, 클릭하는 모든 경로에 주의를 기울여야 함을 의미한다”라고 말했다.
이효은 카스퍼스키 한국지사장은 “이번 700만개 계정 자격증명 유출 사건은 사이버 범죄자들이 대형 플랫폼을 집중 타깃으로 삼고 있음을 보여준다”며 “카스퍼스키는 국내 파트너들과 협력해 한국의 사이버 복원력을 향상시키고 안전한 디지털 경험을 제공하는 데 최선을 다할 것이다”라고 말했다.
한편 카스퍼스키는 Z세대를 위해 설계된 인터랙티브 사이버 보안 게임 ‘케이스 404’를 만들었다. 플레이어는 인공지능 기반 사이버 탐정 역할을 맡아, 현재 실제 위협을 바탕으로 한 사이버 범죄를 수사한다. 모든 사건을 해결한 사용자에게는 ‘카스퍼스키 프리미엄’ 할인 혜택이 주어진다.
[강현주 기자(jjoo@boannews.com)]
글로벌 사이버보안 기업 카스퍼스키(한국 지사장 이효은)는 2024년에 주요 스트리밍 서비스의 유출된 크리덴셜(자격증명)을 분석한 결과 703만5236건이라고 5일 발표했다.
▲침해된 Netflix 계정의 국가별 분포[자료: 카스퍼스키]
이 회사 디지털 풋프린트 인텔리전스팀은 넷플릭스와 애플TV+, 디즈니플러스, 아마존 프라임비디오, 맥스 등 주요 스트리밍 서비스를 대상으로 분석했다.
탈취된 크리덴셜들은 해당 스트리밍 플랫폼을 직접 해킹해서 얻은 것이 아니라, 다른 경로에서 더 큰 규모의 탈취를 통해 수집된 것이다. 사용하는 기기의 악성코드 감염과 피싱 사이트, 비공식 앱 사용 등을 통해 로그인 정보가 외부에서 탈취돼 유출된 것이다.
Z세대가 이용하는 대표적인 스트리밍 플랫폼인 넷플릭스에서 침해된 계정은 563만2694건이다. 디즈니플러스는 68만850건, 아마존 프라임 비디오는 1607건이다.
기기가 한 번 감염되면, 사이버 범죄자들은 스트리밍 앱에서 멈추지 않는다. 악성코드는 계정 크리덴셜과 쿠키, 카드 정보 등 민감한 데이터를 수집한다. 이는 암시장 포럼에 판매되거나 유출된다. 공격자가 명성을 쌓기 위해 데이터를 무상으로 배포하기도 한다.
넷플릭스 비밀번호 유출로 시작해 동일 크리덴셜을 여러 서비스에서 사용하는 ‘크리덴셜 스터핑’ 위험에 노출될 수 있다. 이는 디지털 침해와 신원 도용, 금융 사기로 급속히 확산될 수 있다.
폴리나 트레티아크 카스퍼스키 디지털 풋프린트 인텔리즌스 분석가는 “오늘날 스트리밍 계정을 보호한다는 것은 단순히 비밀번호를 안전하게 관리하는 것 이상”이라며 “기기를 보호하고 의심스러운 다운로드를 피하며, 클릭하는 모든 경로에 주의를 기울여야 함을 의미한다”라고 말했다.
이효은 카스퍼스키 한국지사장은 “이번 700만개 계정 자격증명 유출 사건은 사이버 범죄자들이 대형 플랫폼을 집중 타깃으로 삼고 있음을 보여준다”며 “카스퍼스키는 국내 파트너들과 협력해 한국의 사이버 복원력을 향상시키고 안전한 디지털 경험을 제공하는 데 최선을 다할 것이다”라고 말했다.
한편 카스퍼스키는 Z세대를 위해 설계된 인터랙티브 사이버 보안 게임 ‘케이스 404’를 만들었다. 플레이어는 인공지능 기반 사이버 탐정 역할을 맡아, 현재 실제 위협을 바탕으로 한 사이버 범죄를 수사한다. 모든 사건을 해결한 사용자에게는 ‘카스퍼스키 프리미엄’ 할인 혜택이 주어진다.
[강현주 기자(jjoo@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
