애플·구글·텔레그램도 못믿겠네… 160억건 로그인 정보 유출

160억개 이상의 로그인 자격 증명이 유출되는 대규모 개인정보 피해 사고가 발생했다.

19일 사이버보안 전문 연구기관 사이버뉴스(Cybernews)는 애플, 페이스북, 구글, 텔레그램 등 글로벌 플랫폼을 포함한 개인 및 기업 계정에서 16억건에 달하는 로그인 정보가 유출됐다고 밝혔다. 이는 단일 규모로는 역대 최대 수준이다.

해당 정보는 인포스틸러(Infostealer) 계열 악성코드에 감염된 기기에서 수집된 것으로 추정된다. 피해 대상은 소셜미디어부터 기업 내부망, VPN, 개발자 포털, 정부 시스템에 이르기까지 전방위적으로 확산된 것으로 보인다.

사이버뉴스 측은 “올해 초부터 총 30개 데이터셋에서 수천만건에서 최대 35억건 단위의 로그인 기록을 수집했다”며 “최종적으로 집계된 유출 규모는 160억건에 달한다”고 밝혔다.

보고서는 또한 “이번 유출은 단순한 데이터 노출이 아닌, 악의적 활용을 위한 설계도로 간주해야 한다”며 “개인 계정 탈취, 피싱 공격, 조직 침투에 이르기까지 다양한 위협이 현실화할 수 있다”고 경고했다.

해당 데이터는 일시적으로 보안 설정이 되지 않은 엘라스틱서치(Elasticsearch) 데이터베이스와 객체 저장소를 통해 외부에 노출됐다. 수집된 정보는 웹사이트 주소(URL), 사용자 ID, 비밀번호 순으로 구성돼 있으며, 이는 최신 인포스틸러의 수집 방식과 동일한 구조다.

특히, 텔레그램 관련 데이터만 약 6000만건, 러시아 연방 관련 항목은 4억5500만건 이상 포함된 것으로 분석됐다. 일부 중복 항목이 있으나, 정확한 피해자 수는 확인되지 않았다. 

원재연 기자
wonjaeyeon@chosunbiz.com