2025년 6월 중순, 사이버보안 전문 매체 Cybernews가 다크웹을 모니터링하던 중 약 30개 대형 데이터셋에 160억 건에 달하는 로그인 자격 증명이 포함돼 있다는 사실을 공개하면서 정보 유출 사태가 전 세계로 확산되었습니다. 구글·애플·페이스북·텔레그램 등 초대형 플랫폼의 로그인 URL과 함께 이메일, 패스워드, IP, 브라우저 쿠키가 대거 노출된 이번 사건은 서버 침해가 아닌 ‘인포스틸러(Infostealer)’라는 악성코드에 의해 사용자의 디바이스에서 직접 수집된 기록이 집합 형태로 판매·공유됐다는 점에서 새로운 경각심을 불러일으킵니다.
1. 사건 개요
이번 정보 유출 사건은 단일 기업이 아닌 2018년 이후 세계적으로 유행한 RedLine·Raccoon·Vidar 등 인포스틸러가 설치된 PC·모바일 기기에서 흘러나온 ‘로그 파일(Log File)’이 취합된 사례입니다. 데이터 총량은 약 16 billion records로, 2021년 RockYou2021(84 GB)보다 20배 이상 방대하다는 추정이 나왔습니다.
1.1 피해 규모와 특징
Cybernews 분석에 따르면 전체 기록의 26%가 중복이며, 여전히 118억 건 이상의 순수 로그인 데이터가 독자적으로 악용될 수 있습니다. 정보 유출 범위에는 정부 포털과 기업 VPN 계정도 포함되어 공급망 공격 가능성이 커졌습니다.
1.2 주요 플랫폼의 입장
구글과 애플은 “자사 서버 침해 증거는 없다”며 패스키·2FA 사용을 강조했습니다. 메타는 의심 활동 탐지가 있을 경우 자동 로그아웃과 강제 비밀번호 재설정을 시행했고, 텔레그램은 다단계 인증(2SV)을 권장했습니다. 이처럼 각사 입장은 서버 무결성을 강조하나, 정보 유출로 인한 사용자 피해 가능성 자체를 부정하지는 않았습니다.
2. 유출 경로와 기법
대부분의 정보 유출은 피싱 e-메일, 크랙 소프트웨어, 게임 모드 파일 등에 은닉된 인포스틸러로 시작됩니다. 감염된 기기는 브라우저의 Local Storage·Cookies·Credential Vault를 스캔하여 JSON 또는 CSV 형태의 로그를 즉시 공격자 C2 서버로 전송합니다.
2.1 인포스틸러 생태계
RedLine(러시아계), LummaC2(구독형 MaaS), Rhadamanthys(Go 언어 기반) 등이 월 150~500 USD에 블랙마켓에서 유통되고 있습니다. 개발자는 ‘빌더’를 판매하고, 구매자는 spam-botnet을 통해 배포합니다. 이런 구조에서 정보 유출은 단발성 사건이 아니라 지속적 수익 모델에 편입됩니다.
2.2 다크웹 유통 구조
수집 로그는 Telegram 마켓·Exploit 포럼·Genesis Store와 같은 ‘프라이빗 마켓’에서 1,000줄당 10~15 USD에 거래됩니다. 이후 원시 데이터가 다시 압축·세분화돼 크리덴셜 스터핑 도구(Ex. OpenBullet, SilverBullet)에 맞게 재포장되면서 정보 유출 피해가 기하급수적으로 확산됩니다.
3. 이해당사자별 영향
3.1 일반 사용자
계정 도용, 피싱, 금융 사기 등이 우려됩니다. 특히 동일 비밀번호 재사용률이 62%(IBM, 2024)로 보고된 만큼 정보 유출 데이터는 공격자가 다른 플랫폼으로 옮겨가며 credential stuffing을 수행하기 쉽습니다.
3.2 기업과 개발자
API 키·SSH 키가 함께 노출된 사례가 발견돼 소스코드 리포지토리 침해 위험이 증가했습니다. S-BOM(Security Bill of Materials) 작성과 주기적 심층 스캔을 통해 정보 유출에 따른 공급망 리스크를 최소화해야 합니다.
3.3 정부·규제 기관
EU GDPR·미국 FTC Safeguards Rule·대한민국 개인정보보호법 등 규제기관은 사고 신고 의무, 데이터 저장 최소화, 다중 인증 채택 여부를 점검하고 있습니다. 국가 차원의 정보 유출 모니터링 체계를 공동 구축하려는 국제 논의도 지속되고 있습니다.
4. 대응 전략과 모범 사례
4.1 개인 보안 수칙
첫째, 모든 플랫폼에서 고유·16자 이상 비밀번호를 생성하세요. 둘째, 패스키·물리적 보안키(U2F)를 도입해 정보 유출 연쇄 피해를 차단하세요. 셋째, 브라우저 저장 비밀번호 대신 오픈소스 관리자(KeePassXC 등)를 활용해 저장소를 로컬로 분리하세요.
4.2 기업의 보안 거버넌스
CTEM(Continuous Threat Exposure Management) 프레임워크를 기반으로 실시간 취약점 스코어링, 비관리 디바이스(Shadow IT) 탐지, 보안 인식 교육을 운영해야 합니다. 정보 유출을 전제로 한 ‘Assume Breach’ 관점이 필수입니다.
4.3 국제 협력 과제
INTERPOL Cyber Fusion Centre, 글로벌 CERT 간 정보 공유를 확대하고, 다크웹 호스팅 서비스 공급 차단 등 디지털 이니셔티브를 추진해야 합니다. 이를 통해 국경을 넘는 정보 유출 범죄에 공동 대응할 수 있습니다.
5. 전망과 시사점
패스워드리스(passkey) 전환, AI 기반 UEBA(User & Entity Behavior Analytics)의 보급 속도가 빨라지는 한편, 인포스틸러 역시 LLM-aware 웜으로 진화할 전망입니다. 결국 ‘제로 트러스트’가 기본값으로 자리 잡을 때까지 정보 유출 리스크는 줄어들지 않습니다. 기업과 사용자는 기술·정책·문화 세 축의 균형감 있는 노력으로만 공격자와의 속도 경쟁에서 우위를 확보할 수 있습니다.
용어 해설
- 인포스틸러: 사용자 기기에서 자격 증명, 쿠키, 지갑 파일 등을 자동 추출하는 악성코드
- 패스키(passkey): 공개키 암호 방식을 이용해 서버 저장 비밀번호 없이 로그인하는 차세대 인증 방식
- Credential Stuffing: 유출된 계정 정보를 다른 서비스 로그인에 대입해 침투를 시도하는 공격 기법
- CTEM: 자산 식별→위협 탐지→노출 평가→완화 조치를 반복하는 연속적 노출 관리 체계
- Zero Trust: 네트워크 안·밖을 불문하고 모든 접근을 기본적으로 신뢰하지 않는 보안 모델
자주 묻는 질문
Q1. 이번 사건으로 내 계정이 유출됐는지 확인하려면?
전문 사이트인 Have I Been Pwned, Cybernews Personal Data Leak Checker에서 이메일 또는 전화번호를 입력해 확인할 수 있습니다. 다만 즉시 비밀번호를 변경하는 것이 선제적 대응입니다.
Q2. OTP 앱과 SMS 인증 중 어느 쪽이 안전한가?
SMS는 SIM 스와핑 공격에 취약합니다. Google Authenticator, Microsoft Authenticator처럼 TOTP 기반 앱 또는 하드웨어 보안키를 권장합니다.
Q3. 패스워드 관리자를 해킹당하면 더 위험하지 않나요?
대부분의 관리자는 제로지식 암호화를 적용해 메타데이터만 탈취되면 실제 패스워드는 해독이 어렵습니다. 다만 마스터 비밀번호는 절대 재사용하지 말아야 합니다.
참고 사이트
- Cybernews: 인포스틸러 통계와 원본 로그 입수 경로를 최초 보도한 보안 전문 매체
- Have I Been Pwned: 글로벌 공개 정보 유출 데이터베이스를 제공하는 호주 보안 연구 프로젝트
- ENISA: EU 네트워크·정보보안청, 유출 대응 지침과 연례 위협 보고서 제공
- Google Security Blog: 패스키·2단계 인증 전환 가이드 공개
참고 연구
- IBM Security. (2024). Cost of a data breach report 2024. https://www.ibm.com/security/data-breach
- Kaspersky Global Research & Analysis Team. (2025). Infostealer-as-a-Service: 2025-H1 threat landscape. Kaspersky SecureList Whitepaper.
- Mouheb, D., & Debbabi, M. (2023). Credential stuffing: Modeling and large-scale empirical study. Computers & Security, 128, 102893. https://doi.org/10.1016/j.cose.2022.102893