사이버 보안 전문 매체 사이버뉴스는 160억 개에 달하는 비밀번호 등 로그인 정보가 유출됐을 것이라고 보도했다. 사진 셔터스톡.

구글·애플·페이스북 등에서 160억 개에 달하는 역대 최대 규모의 로그인 정보가 유출됐을 것이라는 분석이 나왔다. 보안 전문가들은 이용자들에게 당장 비밀번호를 바꿀 것을 권고하고 있다.

21일(현지시간) 사이버 보안 전문 매체 사이버뉴스는 구글·애플·페이스북·텔레그램 등 전 세계 사람들이 이용하고 있는 주요 플랫폼의 이용자 로그인 정보 약 160억건이 데이터 세트에 정리된 형태로 온라인에 유출된 사실을 발견했다고 밝혔다. 사이버뉴스 연구팀은 올해 초부터 수개월 동안 웹 모니터링을 진행했는데, 이 과정에서 최소 수천만개에서 최대 35억개의 정보가 담긴 초대형 데이터 세트 30개를 발견했다. 이 중에는 각 플랫폼 이용자의 비밀번호가 포함돼 있었고, 소셜미디어(SNS)뿐 아니라 기업가상사설망(VPN)·개발자 포털 등에서 과거 유출된 적 없는 로그인 정보도 있었다.

이번에 유출된 것으로 추정되는 정보 160억개는 전 세계 인구의 약 2배에 달하는 수치다. AP통신은 “이용자는 적어도 1개 이상의 계정 정보를 털렸을 가능성이 있다”고 보도했다. 사이버뉴스 연구팀은 “중복된 데이터가 있을 수 있어 실제 노출된 사람이나 계정 수를 정확히 파악하는 것은 불가능하다”고 밝혔다. 다만 연구팀은 “단순 유출이 아니라 대규모 악용을 위한 밑그림”이라며 “유출된 자료는 대규모로 활용 가능한 정보들이라 피싱 공격과 계정 탈취의 출발점이 될 수 있다”고 덧붙였다.

이번에 유출된 것으로 추정되는 정보 160억개는 전 세계 인구의 약 2배에 달하는 수치다. AFP=연합뉴스

전문가들은 모든 주요 계정의 비밀번호를 변경할 것을 권고하고 있다. 특히 여러 계정에서 중복으로 사용한 비밀정보는 폐기하고, 2단계 인증이나 패스키 도입 등의 조처가 필요하다고 강조했다. 패스키는 비밀번호 없이도 로그인할 수 있게 해주는 인증 수단으로, 지문·얼굴 인식 등 생체 인식이나 PIN(핀) 등을 사용해 보다 안전하게 계정을 보호하는 기술이다.

이번 유출은 정보 탈취용 악성 코드 인포스틸러에 의해 수집된 것으로 추정되고 있다. 인포스틸러는 자격증명을 통해 취약한 시스템에 침입하는 악성코드의 한 종류다. 최근 구글 클라우드 보안 자회사 맨디언트는 전 세계 사이버 공격 트렌드를 분석한 ‘맨디언트 M-트렌드 2025’ 보고서를 통해 지난 1년간 인포스틸러를 통한 사이버 공격 사례가 급증했다고 밝혔다. 보고서에 따르면 공격자들은 클라우드 전환 과정에서 발생하는 보안 취약점이나 안전하지 않은 데이터 저장소를 공략하는 데 인포스틸러를 악용하는 것으로 분석됐다.