"야후가 또!" 2013년에 계정 10억 개 유출 확인... 역대 최대 규모

IDG News Service
야후가 2013년 8월에 10억 개 이상의 계정이 유출된 사실을 공개했다.

이는 지난 9월에 밝혀진 2014년 말의 계정 5억 개 유출과는 별도의 사고로 야후의 기업 신뢰도에 큰 타격을 줄 것으로 예상된다.

이번에 공개된 유출 데이터에서는 사용자의 이름, 이메일 주소, 전화번호, 생일, 해시 처리된 비밀번호 등이 포함된다. 단, 이 비밀번호는 MD5라는 오래된 알고리즘으로 해시 처리 되었는데, 해당 알고리즘은 이미 복호화할 수 있다.

일부 데이터에는 보안 질문도 포함되어 있다. 다만 야후는 카드 정보나 계좌 정보는 유출되지 않았다고 밝혔다.

야후는 현재 추가 피해를 확인 중이며 사용자들에게 비밀번호를 변경하고 보안 질문을 비활성화할 것을 요구하고 있다. 사용자들은 유사한 보안 질문을 사용한 다른 계정도 점검해봐야 한다.

야후는 해당 데이터어 유출 사고의 원인을 “인증되지 않은 서드파티”라고만 언급했다. 야후는 데이터 유출 사고에 대해서 지난 11월에 인지했다. 당시 법집행기관이 야후에서 나온 것이라고 주장하는 데이터 파일을 가지고 야후에 접촉했는데, 해당 파일은 서드파티로부터 얻은 것이었다.

야후는 그 이후 외부 포렌식 전문가를 통해 해당 데이터가 유출된 것이 맞다는 사실을 확인했다.

야후 인수를 진행 중인 버라이즌은 수요일 “야후의 조사 진행 추이를 지켜볼 것이다. 최종 결론이 나기 전까지 새롭게 밝혀진 내용이 어떤 영향을 끼칠지 자세히 검토할 것”이라고 말했다.

한편, 야후는 이번 데이터 유출에 대해서 침입자가 야후 사이트의 인터넷 쿠키 처리 방식에 대한 기밀 코드에 엑세스할 수 있었다고 지적했다. 이렇게 되면 비밀번호가 없어도 특정 사용자의 계정에 접근할 수 있다.

야후는 이 쿠키 위조가 9월에 드러난 데이터 유출 사고의 해커와 어느 정도 연결되어 있음을 시사한다고 설명했다. editor@itworld.co.kr