30억 개 이메일이 그냥 떠다녔다

30억 개 이메일이 그냥 떠다녔다

사이버보안 전문가도 놀랐다. 수년간 데이터 유출 사건을 추적해온 그렉 폴록(Greg Pollock)이 지난 1월 독일 클라우드 서버에서 발견한 것은 30억 개의 이메일 주소와 비밀번호, 그리고 27억 개의 사회보장번호(한국의 주민등록번호에 해당)가 담긴 거대한 데이터베이스였다. 누구나 접근할 수 있는 상태로 말이다.

업가드(UpGuard) 연구팀의 폴록은 "매주 큰 규모의 유출 사건을 보지만, 이번엔 달랐다"고 말했다. 단순히 규모가 클 뿐만 아니라, 아직 악용되지 않은 '신선한' 개인정보들이 포함되어 있었기 때문이다.

2015년 추억이 비밀번호에 남아있다

연구팀이 280만 개 샘플을 분석한 결과, 흥미로운 패턴이 드러났다. 비밀번호에 원디렉션, 폴아웃보이, 테일러 스위프트 같은 2015년 인기 스타들의 이름이 압도적으로 많았다. 반면 블랙핑크나 BTS 관련 비밀번호는 거의 없었다.

이는 이 데이터가 2015년경 미국에서 수집된 것임을 시사한다. 하지만 오래된 데이터라고 안심할 수 없다. 두 가지 이유 때문이다.

첫째, 사람들은 같은 이메일과 비밀번호(또는 그 변형)를 여러 사이트에서 계속 사용한다. 둘째, 사회보장번호는 평생 바뀌지 않는다. 연구팀이 확인한 바로는 샘플 중 4분의 1이 유효한 사회보장번호였다. 전체 데이터에 적용하면 6억 7천 5백만 개의 진짜 사회보장번호가 노출된 셈이다.

피해자도 모르는 피해

더 심각한 문제는 따로 있었다. 연구팀이 데이터베이스에 이름이 올라간 사람들에게 직접 연락해본 결과, 상당수가 자신의 정보가 유출된 사실조차 모르고 있었다. 아직 신분도용 피해를 당하지도 않았다.

이는 곧 사이버 범죄자들이 아직 이 데이터를 발견하지 못했거나 악용하지 않았다는 뜻이다. 시한폭탄이 묻혀있는 상황인 셈이다.

폴록은 1월 16일 독일 클라우드 업체 헤츠너에 신고했고, 회사는 고객에게 통보해 1월 21일 데이터를 삭제했다고 밝혔다.

10년 전 유출이 지금도 위험한 이유

이번 사건은 2015년 미국 인사관리처(OPM) 해킹이나 2017년 이퀴팩스 신용평가사 유출 같은 과거 사건들이 얼마나 오래 영향을 미치는지 보여준다. 한 번 유출된 개인정보는 여러 데이터 브로커와 사이버 범죄자들 사이에서 계속 재조합되고 거래된다.

특히 한국 상황에서 생각해보면, 주민등록번호 유출은 더욱 심각하다. 미국과 달리 한국에서는 주민등록번호로 금융거래부터 온라인 쇼핑까지 거의 모든 일상생활이 가능하기 때문이다.