2019.02.01

"콜렉션 #1에 이어 이번에는 6억 건 이상"...이메일·비밀번호 잇단 유출

Mark Hachman | PCWorld
‘콜렉션’ 데이터 유출의 후속편처럼, 콜렉션 #2-#5가 보고됐다. 전편보다 훨씬 많은 21억 9,000만 개의 이메일 주소와 비밀번호가 유출된 것으로 알려졌다.

하소 플래트너 인스티튜트 연구원들은 콜렉션 #2-5에 있는 6억 1,100만 개의 자격 증명이 콜렉션 #1 데이터베이스에는 포함되어 있지 않다는 사실을 발견했다. 그래서 피해 데이터는 총 21억 9,000만 개에 달하게 됐고 Heise.de의 보도에 따르면 이 중 일부 정보가 다른 곳에 유통되고 있는지 여부는 아직 확실하게 알 수 없다.

분명한 점은 20억 개가 넘는 이메일 주소와 비밀번호가 노출되었기 때문에 개인 사용자도 위험하다. 사용자의 비밀번호나 이메일 정보가 공격자의 손에 들어가 있을 것이 거의 확실해진 것이다. 필자의 경우 외부에 공유한 적이 거의 없는 이메일 주소는 무사헀지만, 사용된 적이 있는 공개 이메일 주소는 여러 데이터 베이스에서 발견됐다.
 

개인 사용자의 대처 방법

HaveIBeenPwned 웹 사이트 소유자이기도 한 트로이 헌트(Troy Hunt) 연구소는 이전의 콜렉션 #1 데이터베이스를 추가했다. 나머지 콜렉션은 아직 추가되지 않았다. 이와 달리 하소 플래트너 인스티튜트는 자체적인 ID 유출 확인 프로그램(Identity Leak Checker)를 돌리고 있는데, 여기서는 데이터베이스에 추가됐다. ID 유출 확인 프로그램은 사용자의 이메일만을 확인용으로 요구하고, 이 이메일 주소를 사용해 인터넷 다른 곳에 유출된 사용자 이름, IP 주소, 비밀번호(해당될 경우) 등이 포함된 정보 목록을 생성한다.

ID 유출 확인 프로그램은 이메일 주소와 비밀번호가 매치되는지 여부를 알려준다. 그러나 그 비밀번호가 얼마나 최근의 것인지는 알 수 없다. 영향 받은 이메일 주소와 비밀번호를 더 어려운 것으로 바꾸는 것도 좋은 방법이다.

가능하다면 이메일 주소에 이중 인증이 활성화되어 있는지를 다시 한번 확인해보자. 특히 이메일 주소는 사용자가 접근할 수 있는 다른 웹 사이트에 로그인하는 수단으로 악용돼 개인 정보를 탈취하는 데 쓰일 위험이 있다. 이중 인증이라고 무조건 안전하지는 않지만, 최소한 다른 보안 계층을 제공할 수는 있다. 개인 정보를 더욱 확실하게 보호하는 방법은 비밀번호 관리자 프로그램을 사용하는 것이다. 암호 관리자는 고유의 안전한 비밀번호를 자동으로 생성해 주기 때문이다. editor@itworld.co.kr 


2019.02.01

"콜렉션 #1에 이어 이번에는 6억 건 이상"...이메일·비밀번호 잇단 유출

Mark Hachman | PCWorld
‘콜렉션’ 데이터 유출의 후속편처럼, 콜렉션 #2-#5가 보고됐다. 전편보다 훨씬 많은 21억 9,000만 개의 이메일 주소와 비밀번호가 유출된 것으로 알려졌다.

하소 플래트너 인스티튜트 연구원들은 콜렉션 #2-5에 있는 6억 1,100만 개의 자격 증명이 콜렉션 #1 데이터베이스에는 포함되어 있지 않다는 사실을 발견했다. 그래서 피해 데이터는 총 21억 9,000만 개에 달하게 됐고 Heise.de의 보도에 따르면 이 중 일부 정보가 다른 곳에 유통되고 있는지 여부는 아직 확실하게 알 수 없다.

분명한 점은 20억 개가 넘는 이메일 주소와 비밀번호가 노출되었기 때문에 개인 사용자도 위험하다. 사용자의 비밀번호나 이메일 정보가 공격자의 손에 들어가 있을 것이 거의 확실해진 것이다. 필자의 경우 외부에 공유한 적이 거의 없는 이메일 주소는 무사헀지만, 사용된 적이 있는 공개 이메일 주소는 여러 데이터 베이스에서 발견됐다.
 

개인 사용자의 대처 방법

HaveIBeenPwned 웹 사이트 소유자이기도 한 트로이 헌트(Troy Hunt) 연구소는 이전의 콜렉션 #1 데이터베이스를 추가했다. 나머지 콜렉션은 아직 추가되지 않았다. 이와 달리 하소 플래트너 인스티튜트는 자체적인 ID 유출 확인 프로그램(Identity Leak Checker)를 돌리고 있는데, 여기서는 데이터베이스에 추가됐다. ID 유출 확인 프로그램은 사용자의 이메일만을 확인용으로 요구하고, 이 이메일 주소를 사용해 인터넷 다른 곳에 유출된 사용자 이름, IP 주소, 비밀번호(해당될 경우) 등이 포함된 정보 목록을 생성한다.

ID 유출 확인 프로그램은 이메일 주소와 비밀번호가 매치되는지 여부를 알려준다. 그러나 그 비밀번호가 얼마나 최근의 것인지는 알 수 없다. 영향 받은 이메일 주소와 비밀번호를 더 어려운 것으로 바꾸는 것도 좋은 방법이다.

가능하다면 이메일 주소에 이중 인증이 활성화되어 있는지를 다시 한번 확인해보자. 특히 이메일 주소는 사용자가 접근할 수 있는 다른 웹 사이트에 로그인하는 수단으로 악용돼 개인 정보를 탈취하는 데 쓰일 위험이 있다. 이중 인증이라고 무조건 안전하지는 않지만, 최소한 다른 보안 계층을 제공할 수는 있다. 개인 정보를 더욱 확실하게 보호하는 방법은 비밀번호 관리자 프로그램을 사용하는 것이다. 암호 관리자는 고유의 안전한 비밀번호를 자동으로 생성해 주기 때문이다. editor@itworld.co.kr 


X