구글도 털리는구나

160억 개의 비밀번호와 인포스틸러

2025년 6월 19일, 구글, 애플, 페이스북, 깃허브와 같은 글로벌 IT 기업들이 예외 없이 털렸다.

세상에나

https://www.forbes.com/sites/daveywinder/2025/06/19/16-billion-apple-facebook-google-passwords-leaked---change-yours-now/

16 Billion Apple, Facebook, Google And Other Passwords Leaked — Act Now

포브스는 160억 개에 달하는 로그인 자격 증명이 유출되었다고 보도했다. 이 정보들에는 사용자 이름, 비밀번호, 그리고 기타 민감한 데이터가 포함돼 있었다.

유출된 데이터의 출처는 인포스틸러(infostealer)라는 악성 프로그램이다. 이 프로그램은 사용자 컴퓨터에 설치되어 비밀번호를 수집하고 해커에게 보내는 역할을 한단다. 그 해커들이나 이 사건을 공개한 사람들은 아마 다른 해킹으로 돈을좀 벌었거나, 이미 유출된 정보를 판매하고도 남았을 것 같다.

160억 개의 유출된 로그인 정보

이번 사건에서 유출된 정보들은 말 그대로 ‘전 지구적’ 규모의 유출이다.

160억 개, 그 숫자부터가 압도적이다. 각종 이메일, 소셜 미디어 계정, 심지어 은행 계좌까지 포함된 로그인 정보들이 해커들 손에 빠져나갔다. 유출된 정보에는 구글, 애플, 페이스북 사용자들이 포함된 것으로 보인다. 즉, 빅테크들이 관리하는 데이터에서, 그 보안 시스템을 뚫고 데이터를 유출시킨 것이다. 이걸 놀랄 일이라고 해야할지...

악성 프로그램은 인포스틸러라는 이름을 달고 돌아다닌다.

해커가 아니라 그냥 프로그램이라 부르기엔 조금 과할 수도 있겠다. 왜냐면 인포스틸러는 사람처럼 비밀번호를 수집해서 해커에게 보내준다.

전형적인 수법이다. 뭐, 어떻게 보면 간단하고 효율적인 방식이라서 해커들이 굳이 복잡한 방법을 쓰지 않아도 되니 좋은 일이긴 하다. 문제는 그 수집된 정보들이 얼마나 신경을 써야 하는지를 명확하게 보여준다는 점이다. 바로 그것이 이번 사건의 핵심이다.

빅테크의 보안 수준, 믿을 수 없는 현실

이 사건에서 더 놀라운 건, 구글과 애플, 페이스북 같은 빅테크들까지 연루되었다는 점이다. 이제 이런 기업들은 사용자 데이터를 관리하는 데 있어 책임이 막중하다고 떠들어대지만, 결국 유출된다. 그럼 이런 빅테크 기업의 보안 시스템은 도대체 어떤 수준이냐는 의문이 든다.

물론 "충분한 보안 강화 작업을 했습니다"라고 주장하겠지. 그러면 뭐하나, 결과적으로 이렇게 무려 160억 개의 비밀번호가 유출되었는데. 소위 빅테크들의 보안 시스템은 아무 의미가 없었다.

큰 기업들이 아무리 막대한 자원을 투자해 보안 시스템을 갖췄다 해도, 그것이 제대로 기능하지 못한다면 그만큼 허술하다는 증명일 뿐이지, 그 시스템의 구멍이 무한히 많다는 사실이 드러난 셈이다.

그리고 이런 빅테크들이 유출된 데이터를 어떻게 처리할지, 그 대응은 중요하다. 그러나 결과적으로 사용자들은 그들이 뭘 하든 상관없다. 계정 탈취, 피싱 공격, 금융 사기는 이미 시작됐다고 봐야할 것 같다.

해커들은 손쉽게 정보를 팔았거나 팔 계획이었을 거고, 이미 일부 실행중일 가능성이 매우 크다. 그리고 그 피해를 떠안은 건 결국 우리들, 즉 사용자가 됐다. 예상을 못했다면 그게 더 문제가 되겠다.

악성 프로그램의 유포 경로

도대체 어떻게 유출된 것일까?

당연히 악성 프로그램, 인포스틸러가 원인이다. 이 프로그램은 사용자의 장치에 몰래 설치된다. 그런데 이렇게 설치된 악성 코드는 아무런 경고 없이 백그라운드에서 작동하며, 사용자가 입력하는 로그인 정보를 실시간으로 캡처해서 보내준다.

간단하게 말하자면, 사용자가 입력한 비밀번호가 그대로 해커에게 전달되는 것이다. 이 과정에서 피해자는 전혀 알지 못한다. 그들은 그저 평범하게 인터넷을 하고 있다고 생각할 뿐이다.

그럼 이 비밀번호는 어떻게 유출될까? 피싱? 이메일 첨부파일? 뭐가 되었든지 그만큼 안전하지 않다는 얘기다. 요즘 누가 제대로 된 보안 관리 없이 인터넷을 하겠냐고 물을 수도 있겠지만, 현실이 어디 그렇습니까.

유출된 정보의 피해 규모

유출된 정보들은 단순히 데이터가 아니라, 그 자체로 피해를 일으킬 수 있는 도화선이다.

해커들은 이 로그인 자격 증명들을 이용해 계정 탈취는 물론이고, 금융 사기와 피싱 공격 등을 시도할 수 있다. 피해자들은 자기들이 뭘 어떻게 했는지 알지도 못하고 허공에 돈을 날리게 될 수도 있다. 게다가 한 번 유출된 정보가 악용되는 건 순식간이다.

예를 들어, 구글 계정이 유출되면 그건 단순히 구글만의 문제가 아니다. 페이스북, 트위터, 심지어 은행 계좌까지 모두 위험에 처할 수 있다. 피해자는 그냥 연쇄적인 피해를 당할 수밖에 없다.

해커들이 그들의 비밀번호를 가지고 얼마나 많은 것들을 손쉽게 해결할 수 있는지 알게 된다면, 그 어떤 보안 시스템도 신뢰할 수 없다는 걸 깨닫게 될 거다.

기업의 대응, 이제와서 그게 과연 중요할까?

이 사건에서 가장 중요한 점은 바로 빅테크 기업들의 대응이다.

구글이나 애플, 페이스북 같은 기업들이 과연 데이터 유출에 대해 어떻게 처리할지, 그들의 대처가 피해를 최소화할 수 있을지. 물론 그들은 자기가 이런 사고를 방지하기 위한 보안 강화 작업을 했다고 주장할 것이다.

그러나 문제는, 이 사고가 이미 발생했다는 사실이다. 아무리 강력한 보안 시스템을 갖추었더라도, 결국 뚫리고 말았는데, 뭘 어쩌라고.

아무리 피해자들에게 천문학적인 보상을 한다 해도, 빅테크 명성에 굉장한 스크래치가 생긴 뒤다.

보안, 아무것도 아닌 그 무언가

결국, 이번 사건은 보안에 대해 얼마나 신경을 써야 하는지에 대한 경고가 되었다.

빅테크도 결국 털린다는 사실을 받아들여야겠다.

아무리 세계최고의 보안 전문가를 고용하고, 최첨단 시스템을 도입한다고 해도, 결과는 무엇?

160억 개의 비밀번호 유출

그 피해는 사용자가 떠안게 된다. 보안 강화에 대한 기업의 책임? 그저 구호에 불과하다. 결국에는 사용자가 달달 떨면서 2단계 인증을 설정하고, 강력한 비밀번호를 만들어야(그리고 외워야) 하는 시대가 온 것이다.

천하의 빅테크라고 해봐야 소용없네. 모든 건 결국 사용자 즉 내게 달려 있다는 사실을 잊지 말고, 다들 비밀번호나 바꿉시다.

젠장.