사이버보안 연구원 제레마이어 파울러는 비밀번호 보호나 암호화 없이 공개된 데이터베이스를 발견했다고 2025년 5월 보고했다. 이 데이터베이스에는 페이스북, 인스타그램, 마이크로소프트, 로블록스, 스냅챗 등 다양한 서비스의 1억 8,400만 건 이상의 고유 사용자 이름과 비밀번호가 포함돼 있었다.
와이어드(Wired)가 보도한 파울러의 조사에 따르면, 해당 데이터베이스에는 애플, 아마존, 닌텐도, 스냅챗, 스포티파이, 트위터, 워드프레스, 야후, 은행, 의료 서비스, 정부 포털 등 여러 플랫폼의 로그인 정보도 포함돼 있었다.
파울러는 이 데이터베이스의 용도를 확인할 수 없었고, 호스팅 업체에 신고한 후 데이터베이스 공개 접근은 차단됐다. 이 데이터베이스가 얼마나 오랫동안 외부에 노출돼 있었는지, 누가 접근했는지 여부도 파악할 수 없었다. 파울러는 일부 이메일 주소를 이용해 데이터 침해 조사 중인 연구원으로 가장하고 정보의 진위를 확인했다고 전했다.
파울러는 유출 사고에 대해 “노출된 데이터가 정보 탈취형 악성코드(인포스틸러)에 의해 수집된 여러 정황이 존재한다”고 밝혔다. 악성코드는 보통 웹 브라우저, 이메일 클라이언트, 메신저 앱 등에 저장된 인증 정보를 노린다. 파울러는 “사이버 범죄자들은 인포스틸러를 배포하기 위해 다양한 수단을 활용한다”고 설명했다.
사용자 보호를 위한 권고 사항도 제시됐다. 알 수 없거나 예상하지 못한 출처의 이메일이나 문자에 포함된 링크는 열지 말고, 믿을 수 있는 발신자 여부를 확인해야 한다. 링크가 포함돼 있다면 마우스 오른쪽 클릭 또는 Control + 클릭으로 링크 주소를 복사해 텍스트 편집기에 붙여넣고 실제 URL을 확인하는 것이 좋다. 피싱 공격은 종종 오타가 포함된 URL을 통해 이루어지므로, 브라우저에 주소를 입력할 때는 철자 확인이 중요하다. 자주 방문하는 웹사이트는 북마크를 활용하는 것이 좋으며, 검색 엔진에서 공식 주소를 확인하고 접속하는 방법도 권장된다.
악성코드 감염을 막기 위해서는 깃허브 등 불특정 저장소에서 소프트웨어를 다운로드하지 말고, 맥 앱스토어처럼 검증된 채널을 이용하거나 개발사 공식 홈페이지를 이용하는 것이 바람직하다. 애플은 보안 패치를 운영체제 업데이트를 통해 제공하므로, 사용자는 최신 상태를 유지해야 하며, 앱도 앱스토어나 개별 앱 설정에서 정기적으로 업데이트해야 한다.
dl-itworldkorea@foundryco.com
Roman Loyola editor@itworld.co.kr
저작권자 Foundry & ITWorld, 무단 전재 및 재배포 금지
이 기사의 카테고리는 언론사의 분류를 따릅니다.