초대형 이메일 데이터 유출 사고가 발생한 것으로 드러나 충격을 주고 있다.

경제전문 온라인 매체 ‘마켓워치’가 보안 연구업체 ‘트로이 헌트’(Troy Hunt) 자료를 인용해 지난 18일 보도한 내용에 따르면 지난 수년간 전 세계에서 7억7,300만개의 이메일 주소, 2,000만개의 비밀번호를 포함해 총 27억개의 데이터가 ‘컬렉션 #1’(Collection #1)이란 이름으로 클라우드 서비스 사이트인 ‘메가’(MEGA)에 유출된 것으로 확인됐다.
매체에 따르면 유출된 컬렉션 #1 파일은 현재 온라인에서 삭제된 상태이다.

또한 데이터가 정제되어 있지 않기 때문에 11억6,025만3,228개의 고유 이메일 주소와 비밀번호 조합 데이터가 실제로 서로 연결되어 있는 것인지는 불분명한 것으로 알려졌다.

하지만 27억개의 사용자명과 비밀번호 목록이라고 언급한 것으로 보아 실제 이메일과 비밀번호 조합일 가능성이 매우 높다. 뿐만 아니라 얼마만큼 오랫 동안 온라인상에 업로드되어 확산되었는지는 파악이 어렵고 트로이 헌트가 접수한 단일 정보유출 사건으로는 최대 규모인 만큼 막대한 피해가 예상된다.

트로이 헌트에 따르면 유출된 자료에 담긴 이메일 주소 및 비밀번호는 약 2,000여개 온라인 사이트에 로그인 할 수 있는 권한을 보유하고 있고, 해당 이메일 및 비밀번호를 보유한 인터넷 유저라면 누구나 관련 사이트에 접속이 가능하다.

특히 다수의 사이트에서 같은 이메일 주소와 같은 비밀번호를 사용하는 유저들의 특성을 적극 활용하는 해커들의 ‘데이터 스터핑’(Data-stuffing) 공격에 매우 취약할 수 있다.

은행, 회사, 페이스북 등 여러 사이트의 이메일과 비밀번호를 통일할 경우 해커들은 고유 해킹 프로그램을 통해 수십만개의 이메일 주소 및 비밀번호 조합 중 하나를 찾아내 로그인을 시도하고 원하는 정보를 탈취할 수 있다.

샌호제 소재 보안업체 ‘발빅스’의 제품 및 솔루션 디렉터 루치카 미시라는 “규모로 봤을 때 이번 이메일 주소 및 비밀번호 유출은 매우 심각한 사안이며, 해커들에게 어떤 자료든 접근할 수 있는 능력을 주는 꼴”이라고 우려를 표명했다.

매체는 현재 트로이 헌트가 운영하는 정보유출 확인 웹사이트 ‘Have I Been Pwned?‘(https://haveibeenpwned.com/)를 통해 자신의 이메일과 비밀번호가 유출됐는지 점검하고 신속하게 비밀번호를 변경할 것을 조언했다.

<이균범 기자>