인포스틸러로 수집된 로그인 정보, 온라인 대량 유출
사이버 범죄 확산 ‘기폭제’ 될까 우려도
[보안뉴스 여이레 기자] 합쳐서 160억건에 이르는 로그인 자격 증명 정보를 담은 초거대 데이터셋 뭉치가 온라인 공간에 노출돼 있는 것이 발견됐다. 이 중 대부분은 이전에 보고된 적 없는 새로운 유출 데이터였다.
사이버뉴스 연구진은 19일(현지시간) 다양한 플랫폼에서 유출된 대형 데이터셋 30개를 발견했다고 밝혔다. 이들 데이터셋은 최소 1600만건에서 최대 35억건의 로그인 정보를 포함하고 있으며, 평균 5억5000만건의 데이터를 갖고 있다.
주요 소셜미디어와 기업 플랫폼, VPN, 개발자 포털 등 로그인이 필요한 거의 모든 분야 데이터를 총 망라한다.
[자료: gettyimagesbank]
연구진이 입수한 데이터는 대부분 URL, 로그인 정보, 비밀번호 순의 명확한 구조를 따르고 있다. 연구진은 “민감한 정보를 훔치는 악성 소프트웨어 인포스틸러는 최근 대부분 이런 방식으로 데이터를 수집한다”고 했다.
이들은 인포스틸러, 크리덴셜 스터핑 관련 데이터와 이미 유출된 데이터를 재가공한 데이터 등이다. 하지만 규모가 워낙 커 연구진은 중복 데이터를 발라내고 정확한 피해자 수를 산정하지는 못했다.
이처럼 대규모로 유출된 자격 증명 정보는 피싱이나 계정 탈취, 랜섬웨어 침투, 기업 이메일 침해(BEC) 등 다양한 사이버 공격을 촉발할 수 있다. 특히 토큰, 쿠키, 메타데이터 등 최신 인포스틸러 로그가 포함돼 있어 다중 인증이나 자격 증명이 제대로 적용되지 않은 조직은 더욱 큰 위험에 노출된다.
연구진은 “이것은 단순한 유출이 아니라 대규모 악용의 설계도”라며 “160억 건이 넘는 로그인 정보가 노출되면서 사이버 범죄자들은 계정 탈취, 신원 도용, 표적 피싱 등 다양한 공격에 전례 없는 접근권을 갖게 됐다”고 경고했다.
대부분 데이터셋은 일시적으로 보안이 설정되지 않은 엘라스틱서치(Elasticsearch) 데이터베이스와 객체 저장소를 통해 외부 노출됐다. 연구진은 “유일하게 다행인 점은 모든 데이터셋이 아주 짧은 시간 동안만 노출되었다는 점”이라고 밝혔다. 다만 노출 시간이 짧아 연구진은 이 데이터의 관리자를 추적하진 못했다.
일부 데이터셋은 ‘로그인’, ‘자격 증명’ 등 일반적인 이름이 붙어 연구진의 내부 정보 구별을 어렵게 만들기도 했다. 반면, ‘러시아 연합’이나 ‘텔레그램’ 등과 같이 출처를 유추할 수 있는 이름을 가진 데이터셋도 있었다. 이들 두 데이터셋은 각각 4억5500만건, 6000만건이 넘는 레코드를 보유했다.
클라우드 서비스나 비즈니스 관련 데이터, 잠금 파일 등과 연관된 것으로 보이는 데이터셋도 있었다. 일부 데이터셋은 해당 데이터 수집에 사용된 악성코드의 유형을 암시하는 듯한 이름을 가졌다.
유출된 데이터의 소유자가 누구인지는 명확히 밝히지 못했다. 데이터 유출을 확인하고 모니터링하기 위해 정보를 수집하는 보안 연구원일 수도 있지만, 사이버 범죄자들이 소유하고 있었을 가능성이 높다. 사이버 범죄자들은 신원 도용, 피싱 사기, 무단 접근 등 다양한 공격을 대규모로 전개할 수 있게 해 주는 방대한 데이터셋을 선호한다.
노출된 데이터셋의 소유자가 명확하지 않은 상황에서 사용자가 스스로를 보호할 방법은 거의 없다. 그럼에도 연구진은 “비밀번호를 강력하게 만들고 자주 변경하는 것만으로도 계정의 안전을 크게 높일 수 있다”며 “인포스틸러 감염 여부를 검사해 데이터 탈취를 방지해야한다”고 기본적 사이버 보안 준수를 강조했다.
한편, 수십억 건의 기록이 노출되는 대규모 데이터 유출 사고는 최근 빈번하게 발생하고 있다. 이달 이미 중국 역사상 최대 규모의 데이터 유출로 추정되는 사건이 보도된 바 있다.
지난해에는 MOAB (Mother of All Breaches) 사건으로 260억개의 레코드가 유출됐다. 이 사건은 지금까지 가장 큰 규모의 데이터 유출 사고로 추정된다. 또 같은 해 약 100억 개의 고유 비밀번호를 보유한 최대 규모 비밀번호 모음집 ‘락유2024’(RockYou2024)가 유명 해킹 포럼에 유출되는 사고가 있었다.
[여이레 기자(gore@boannews.com)]
사이버 범죄 확산 ‘기폭제’ 될까 우려도
[보안뉴스 여이레 기자] 합쳐서 160억건에 이르는 로그인 자격 증명 정보를 담은 초거대 데이터셋 뭉치가 온라인 공간에 노출돼 있는 것이 발견됐다. 이 중 대부분은 이전에 보고된 적 없는 새로운 유출 데이터였다.
사이버뉴스 연구진은 19일(현지시간) 다양한 플랫폼에서 유출된 대형 데이터셋 30개를 발견했다고 밝혔다. 이들 데이터셋은 최소 1600만건에서 최대 35억건의 로그인 정보를 포함하고 있으며, 평균 5억5000만건의 데이터를 갖고 있다.
주요 소셜미디어와 기업 플랫폼, VPN, 개발자 포털 등 로그인이 필요한 거의 모든 분야 데이터를 총 망라한다.
[자료: gettyimagesbank]
연구진이 입수한 데이터는 대부분 URL, 로그인 정보, 비밀번호 순의 명확한 구조를 따르고 있다. 연구진은 “민감한 정보를 훔치는 악성 소프트웨어 인포스틸러는 최근 대부분 이런 방식으로 데이터를 수집한다”고 했다.
이들은 인포스틸러, 크리덴셜 스터핑 관련 데이터와 이미 유출된 데이터를 재가공한 데이터 등이다. 하지만 규모가 워낙 커 연구진은 중복 데이터를 발라내고 정확한 피해자 수를 산정하지는 못했다.
이처럼 대규모로 유출된 자격 증명 정보는 피싱이나 계정 탈취, 랜섬웨어 침투, 기업 이메일 침해(BEC) 등 다양한 사이버 공격을 촉발할 수 있다. 특히 토큰, 쿠키, 메타데이터 등 최신 인포스틸러 로그가 포함돼 있어 다중 인증이나 자격 증명이 제대로 적용되지 않은 조직은 더욱 큰 위험에 노출된다.
연구진은 “이것은 단순한 유출이 아니라 대규모 악용의 설계도”라며 “160억 건이 넘는 로그인 정보가 노출되면서 사이버 범죄자들은 계정 탈취, 신원 도용, 표적 피싱 등 다양한 공격에 전례 없는 접근권을 갖게 됐다”고 경고했다.
대부분 데이터셋은 일시적으로 보안이 설정되지 않은 엘라스틱서치(Elasticsearch) 데이터베이스와 객체 저장소를 통해 외부 노출됐다. 연구진은 “유일하게 다행인 점은 모든 데이터셋이 아주 짧은 시간 동안만 노출되었다는 점”이라고 밝혔다. 다만 노출 시간이 짧아 연구진은 이 데이터의 관리자를 추적하진 못했다.
일부 데이터셋은 ‘로그인’, ‘자격 증명’ 등 일반적인 이름이 붙어 연구진의 내부 정보 구별을 어렵게 만들기도 했다. 반면, ‘러시아 연합’이나 ‘텔레그램’ 등과 같이 출처를 유추할 수 있는 이름을 가진 데이터셋도 있었다. 이들 두 데이터셋은 각각 4억5500만건, 6000만건이 넘는 레코드를 보유했다.
클라우드 서비스나 비즈니스 관련 데이터, 잠금 파일 등과 연관된 것으로 보이는 데이터셋도 있었다. 일부 데이터셋은 해당 데이터 수집에 사용된 악성코드의 유형을 암시하는 듯한 이름을 가졌다.
유출된 데이터의 소유자가 누구인지는 명확히 밝히지 못했다. 데이터 유출을 확인하고 모니터링하기 위해 정보를 수집하는 보안 연구원일 수도 있지만, 사이버 범죄자들이 소유하고 있었을 가능성이 높다. 사이버 범죄자들은 신원 도용, 피싱 사기, 무단 접근 등 다양한 공격을 대규모로 전개할 수 있게 해 주는 방대한 데이터셋을 선호한다.
노출된 데이터셋의 소유자가 명확하지 않은 상황에서 사용자가 스스로를 보호할 방법은 거의 없다. 그럼에도 연구진은 “비밀번호를 강력하게 만들고 자주 변경하는 것만으로도 계정의 안전을 크게 높일 수 있다”며 “인포스틸러 감염 여부를 검사해 데이터 탈취를 방지해야한다”고 기본적 사이버 보안 준수를 강조했다.
한편, 수십억 건의 기록이 노출되는 대규모 데이터 유출 사고는 최근 빈번하게 발생하고 있다. 이달 이미 중국 역사상 최대 규모의 데이터 유출로 추정되는 사건이 보도된 바 있다.
지난해에는 MOAB (Mother of All Breaches) 사건으로 260억개의 레코드가 유출됐다. 이 사건은 지금까지 가장 큰 규모의 데이터 유출 사고로 추정된다. 또 같은 해 약 100억 개의 고유 비밀번호를 보유한 최대 규모 비밀번호 모음집 ‘락유2024’(RockYou2024)가 유명 해킹 포럼에 유출되는 사고가 있었다.
[여이레 기자(gore@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
 th.jpg)
 TH.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
