100억건이나? 역사상 최대 비밀번호 유출

지난 7월 4일 해킹 포럼에 비밀번호 100억 건을 포함하는 파일이 게시됐다. 보도에선 이번 데이터 유출에 대해 역사상 최대 비밀번호 유출이라고 지적하고 있다.

해킹 포럼에 rockyou2024.txt라는 텍스트 파일이 게시됐다. 이 텍스트 파일 내용을 조사한 연구원에 의해 파일에 99억 4,857만 5,739건에 이르는 고유 비밀번호 정보가 포함되어 있다는 게 밝혀졌다. 이 파일 게시자는 지난 5월말 계정을 등록한 오바마케어(ObamaCare)라는 사용자다.

그가 게시한 파일에는 비밀번호 외에도 법률 사무소 시몬스앤시몬스(Simmons & Simmons) 직원 데이터베이스, 온라인 카지노 에스크갬블러(AskGamblers) 데이터, 버링턴 카운티에 있는 로완대 학생 신청서 등도 포함되어 있었다. 이번 데이터 유출을 텍스트 파일명을 따서 RockYou2024라고 명명했다.

연구원은 이미 과거에 데이터가 유출된 인증 정보인지 여부를 확인할 수 있는 데이터와 상호 참조하면서 파일에 포함된 비밀번호 정보가 과거 데이터 침해로 공개된 데이터인지 아니면 새롭게 어디선가 유출된 데이터인지를 검증한 결과 과거 유출된 데이터와 새롭게 유출된 데이터가 혼재되어 있음이 밝혀졌다.

연구원은 본질적으로 RockYou2024는 전 세계 개인이 실제로 사용하고 있는 비밀번호를 모은 것이라며 위협 행위자 비밀번호가 다수 공개됨에 따라 자격 증명 스터핑 공격 위험이 크게 높아졌다고 언급했다. 또 악의적 공격자가 RockYou2024 비밀번호 정보를 악용해 무차별 대입 공격을 실행하면 데이터세트에 포함된 비밀번호를 사용하는 개인이 이용하는 다양한 온라인 계정에 불법 접근할 수 있게 된다고 밝혔다.

지난 2021년에도 84억 건에 이르는 평문 그대로의 비밀번호 정보를 포함하는 텍스트 파일이 인터넷상에 공개됐으며 이 사건은 파일명을 따서 RockYou2021이라고 불렸다. 연구원에 따르면 RockYou2024 제작자는 RockYou2021 데이터에 인터넷상에서 새롭게 데이터가 유출된 15억 건에 이르는 비밀번호 정보를 추가해 RockYou2024로 공개했다고 지적하고 있다.

연구원은 지금까지 비밀번호가 유출됐을 가능성이 있는 모든 계정 비밀번호를 재설정하고 여러 플랫폼에서 비밀번호를 재사용하지 않을 것, 강력하고 고유한 비밀번호를 설정할 걸 권장하고 있다. 또 가능한 한 다요소 인증을 활성화해 비밀번호가 유출되어도 계정에 접근할 수 없도록 하는 게 중요하다고 언급했다. 더불어 비밀번호 관리자 소프트웨어를 사용해 여러 비밀번호를 안전하게 생성하고 관리할 수 있도록 하는 것을 권장하고 있다. 관련 내용은 이곳에서 확인할 수 있다.