2019.01.18

이메일·비밀번호 27억 건 유출… “내 데이터 유출 확인 방법은?”

Mark Hachman | PCWorld
데이터 유출은 점점 흔해지고 있지만, 이번 사건은 충격적이다. 약 11억 개의 고유 이메일 주소와 비밀번호 조합, 7억 7,300만 개의 이메일 주소, 2,000만 개의 비밀번호가 포함된 총 27억 개의 데이터가 ‘컬렉션 #1(Collection #1)’이란 이름으로 유출된 것.
 
ⓒ Getty Images Bank

컬렉션 #1은 클라우드 스토리지 서비스인 MEGA에 공개되어 트로이 헌트가 처음으로 공개했다. 헌트는 본인의 이메일 정보가 유출됐는지 검색할 수 있는 사이트인 HaveIBeenPwned를 운영하고 있으며, 컬렉션 #1에 포함된 데이터 중 고유한 이메일 주소 7억 7,300만 개를 본인 사이트 데이터베이스에 업데이트했다. 그는 이번에 유출된 데이터가 본인 사이트에 업로드된 이메일 주소 중 최대 규모라고 전했다. 하지만 컬렉션 #1에는 이 외에 2,122만 2,975개의 고유 비밀번호도 평문으로 저장되어 있다.

11억 6,025만 3,228개의 고유한 이메일 주소와 비밀번호의 조합 데이터가 실제로 연결되어 있는 것인지는 불분명하다. 데이터가 정제되어 있지 않기 때문. 하지만 27억 개의 사용자명과 비밀번호 목록이라고 언급한 것으로 보아 그럴 가능성이 높다.

하지만 핵심은 이것이 아니다. 헌트의 데이터베이스로 본인의 이메일 주소가 최근 데이터 유출에 포함되어 있는지 확인할 수 있다. 또한, 비밀번호도 확인할 수 있다. 만일 둘 다 유출된 것으로 확인된다면 누군가 본인의 이메일에 접근할 수 있다고 추정해야 한다. 구글과 같은 일부 온라인 서비스들은 서드파티 웹사이트 비밀번호를 서비스 안에 저장하도록 한다. 이 경우엔 공격자들은 마스터격인 지메일 비밀번호로 서드파티 웹사이트에도 접근할 수 있다.

특히, 여러 사이트에서 같은 이메일 주소와 같은 비밀번호를 사용하는 경우가 위험하다. 크리덴셜 스터핑(credential stuffing) 공격에 매우 취약한데, 피해자가 여러 사이트에 같은 이메일 주소와 비밀번호를 사용한다는 것을 알면 이들은 은행, 회사, 페이스북 등 여러 사이트에 로그인을 시도하고 디지털 정보를 탈취할 수 있다.

그래서 어떻게 해야 할까? 헌트의 사이트에서 우선 이메일 주소가 유출되었는지 확인해야 한다. 또한, 비밀번호 유출도 확인할 수 있다. 헌트가 누군지 잘 몰라 미심쩍다면 신뢰도를 높일 옵션들이 있다. 헌트가 비밀번호를 어떻게 익명화해서 저장했는지 읽어보거나, 그냥 비밀번호를 우선 바꾸고 헌트 사이트에서 예전 비밀번호가 탈취되었는지 확인하는 방법도 있다. 

만일 탈취 되지 않았다면 안심하면 되고, 탈취된 것으로 확인됐다면 가능한 한 빨리 비밀번호를 바꾸기 시작해야 한다. 

물론, 이런 대형 데이터 유출 사고에서 안심할 수 있는 진정한 방법은 비밀번호 관리자를 사용하는 것이다. 보통 유료로 제공되지만 자동으로 추정이 불가능한 비밀번호를 생성하며, 이중 인증을 해두면 보안을 깨는 것이 거의 불가능하다. 비밀번호 관리자가 완전히 안전하지 않다고 느껴질 수 있지만, 어쨌든 모든 사이트에 12345678을 비밀번호로 해두는 것보다는 훨씬 안전하다. editor@itworld.co.kr
 


2019.01.18

이메일·비밀번호 27억 건 유출… “내 데이터 유출 확인 방법은?”

Mark Hachman | PCWorld
데이터 유출은 점점 흔해지고 있지만, 이번 사건은 충격적이다. 약 11억 개의 고유 이메일 주소와 비밀번호 조합, 7억 7,300만 개의 이메일 주소, 2,000만 개의 비밀번호가 포함된 총 27억 개의 데이터가 ‘컬렉션 #1(Collection #1)’이란 이름으로 유출된 것.
 
ⓒ Getty Images Bank

컬렉션 #1은 클라우드 스토리지 서비스인 MEGA에 공개되어 트로이 헌트가 처음으로 공개했다. 헌트는 본인의 이메일 정보가 유출됐는지 검색할 수 있는 사이트인 HaveIBeenPwned를 운영하고 있으며, 컬렉션 #1에 포함된 데이터 중 고유한 이메일 주소 7억 7,300만 개를 본인 사이트 데이터베이스에 업데이트했다. 그는 이번에 유출된 데이터가 본인 사이트에 업로드된 이메일 주소 중 최대 규모라고 전했다. 하지만 컬렉션 #1에는 이 외에 2,122만 2,975개의 고유 비밀번호도 평문으로 저장되어 있다.

11억 6,025만 3,228개의 고유한 이메일 주소와 비밀번호의 조합 데이터가 실제로 연결되어 있는 것인지는 불분명하다. 데이터가 정제되어 있지 않기 때문. 하지만 27억 개의 사용자명과 비밀번호 목록이라고 언급한 것으로 보아 그럴 가능성이 높다.

하지만 핵심은 이것이 아니다. 헌트의 데이터베이스로 본인의 이메일 주소가 최근 데이터 유출에 포함되어 있는지 확인할 수 있다. 또한, 비밀번호도 확인할 수 있다. 만일 둘 다 유출된 것으로 확인된다면 누군가 본인의 이메일에 접근할 수 있다고 추정해야 한다. 구글과 같은 일부 온라인 서비스들은 서드파티 웹사이트 비밀번호를 서비스 안에 저장하도록 한다. 이 경우엔 공격자들은 마스터격인 지메일 비밀번호로 서드파티 웹사이트에도 접근할 수 있다.

특히, 여러 사이트에서 같은 이메일 주소와 같은 비밀번호를 사용하는 경우가 위험하다. 크리덴셜 스터핑(credential stuffing) 공격에 매우 취약한데, 피해자가 여러 사이트에 같은 이메일 주소와 비밀번호를 사용한다는 것을 알면 이들은 은행, 회사, 페이스북 등 여러 사이트에 로그인을 시도하고 디지털 정보를 탈취할 수 있다.

그래서 어떻게 해야 할까? 헌트의 사이트에서 우선 이메일 주소가 유출되었는지 확인해야 한다. 또한, 비밀번호 유출도 확인할 수 있다. 헌트가 누군지 잘 몰라 미심쩍다면 신뢰도를 높일 옵션들이 있다. 헌트가 비밀번호를 어떻게 익명화해서 저장했는지 읽어보거나, 그냥 비밀번호를 우선 바꾸고 헌트 사이트에서 예전 비밀번호가 탈취되었는지 확인하는 방법도 있다. 

만일 탈취 되지 않았다면 안심하면 되고, 탈취된 것으로 확인됐다면 가능한 한 빨리 비밀번호를 바꾸기 시작해야 한다. 

물론, 이런 대형 데이터 유출 사고에서 안심할 수 있는 진정한 방법은 비밀번호 관리자를 사용하는 것이다. 보통 유료로 제공되지만 자동으로 추정이 불가능한 비밀번호를 생성하며, 이중 인증을 해두면 보안을 깨는 것이 거의 불가능하다. 비밀번호 관리자가 완전히 안전하지 않다고 느껴질 수 있지만, 어쨌든 모든 사이트에 12345678을 비밀번호로 해두는 것보다는 훨씬 안전하다. editor@itworld.co.kr
 


X