유출 비밀번호 190억 개 공개돼…스마트폰 겨냥 피싱 SMS 기승

[아이티데일리] 최근 몇 달 사이에만 다크웹이나 범죄포럼에 나도는 도난당한 비밀번호 확인 목록이 8억 건에서 17억 건으로, 심지어는 21억 건으로 증가하고 있다. 이는 주로 인포스틸러(정보 탈취) 멀웨어 공격의 확대에 따른 것이다. 그러나이러한 충격적인 숫자를 훨씬 웃도는 190억 개의 비밀번호가 온라인상에서 바로 입수 가능한 상태에 있다고 사이버뉴스 연구팀이 새로운 보고서를 통해 밝혔다. 사이버뉴스는 이 분석 결과를 자사 사이트에 공개했다.

◆ 190억 개의 비밀번호 유출이 초래하는 해킹 문제

홈페이지에 실린 보고서에 따르면 2024년 4월부터 12개월 동안 발생한 200건의 보안 사고로 인해 유출된 190억 개의 비밀번호에 접근할 수 있는 상황은 극히 심각하다. 이 190억 건은 도난당한 비밀번호와 함께 메일 주소가 포함돼 있다. 범죄 목적을 가진 해커에게 이 데이터는 대단히 거대하고 중요한 자원이 된다.

보고서 내용은 매우 충격적이고 범위가 넓다. 보안상의 우려도 크다. 우선 주목해야 할 것은 엉성한 비밀번호와 암호의 재사용 문제다. 온라인상에 유출된 190억 건 중 독특한 비밀번호는 6%에 불과했다. 다시 말해, 94%나 되는 비밀번호가 어떠한 형태로든 재이용되고 있었던 것. 이것이 동일 인물인지 다른 인물인지는 상관이 없다. 이 목록을 입수한 범죄자들이 해킹 가능성에 흥분하는 것은 당연하다.

게다가 42%는 8~10자로 너무 짧아 무차별 대입 및 크리덴셜 스터핑 공격(훔친 자격 정보의 돌려쓰기)을 시도할 여지가 더욱 많다. 또 27%는 소문자 알파벳과 숫자로만 구성되며, 특수문자나 대문자를 포함하지 않는다.

◆ 탈취된 암호의 위협 회피를 위한 조치 시급

사이버뉴스는 "기본 비밀번호 문제는 유출된 인증정보의 데이터셋에서 가장 뿌리깊고 위험한 패턴 중 하나"라고 지적했다. 분석에 따르면 ‘어드민(admin)’이라는 비밀번호는 5300만 회, ‘패스워드(password)’는 5600만 회나 사용되었다. 이런 암호는 공격자가 가장 먼저 표적으로 노리는 것으로, 가장 안전하지 않은 대표적인 암호다.

비밀번호를 재사용하지 않는 것도 매우 중요하다. 보고서는 "여러 플랫폼에서 같은 비밀번호를 재사용하면, 한 시스템이 침해당했을 때 도미노처럼 다른 계정의 안전까지 위협받을 수 있다"고 경고한다. 실제로 기존 시스템이 침해되지 않았더라도, 공격자는 일반적인 비밀번호 패턴을 계속 이용할 수 있다. 보고서는 “공격자는 항상 최신의 인증정보 덤프를 수집해 인포스틸러 데이터나 새롭게 해독된 해시를 입수하고 있다”고 밝힌다. 기존의 보안 시스템을 가볍게 우회할 수 있는 공격이 이루어지게 되는 것이다.

◆ 사이버 보안 업계에 보내는 공개 서한: 비밀번호 유출을 막기 위해

포브스지는 비밀번호 유출과 관련, 사이버 보안 업계의 다양한 경고와 권고를 모아 전했다. 메타서트(MetaCert)의 폴 월시 CEO는 악성 메시징 문제에 대한 풍부한 지식을 바탕으로, 이를 막기 위한 인터넷 표준 개발에 참여해 왔다.

월시에 따르면 2025년 3월 메타서트가 실시한 전국 스미싱 테스트(AT&T, 버라이즌, T모바일, 부스트 모바일 등 참가)에서도 결과는 실망스러웠다. 모든 피싱 메세지가 전달됐으며, 차단이나 경고 표시, 또는 재작성은 전혀 이루어지지 않았다는 것이다.

프루프포인트(ProofPoint)의 보고서에 따르면 2024년에는 모바일 기기를 대상으로 하는 피싱이 이메일보다 빠르게 증가했다. 많은 사이버 공격이 모든 플랫폼에서 피싱으로 시작되기 때문에 소셜 엔지니어링 문제를 해결하면 유출 비밀번호의 확산을 크게 줄일 수 있다.

이런 심각성을 의식한 월시는 ‘스미싱 문제가 왜 오랫동안 방치돼 왔는가’라고 공개적으로 묻는 서한을 사이버 보안업계에 전했다.

월시는 “사이버 보안 업계에는 이메일 보안이나 엔드포인트 보호, 네트워크 방어 분야 전문가는 많지만 SMS 인프라와 보안 전문가는 부족하다”고 지적한다. 서한은 이메일 및 기업 네트워크 피싱에 맞서 수십억 달러를 투자하는 보안 공급업체에 대한 행동 촉구다. 그는 "지구상에서 가장 신뢰할 수 있는 통신 채널인 SMS는 여전히 보호되지 않은 표적“이라고 강조하고 이메일 보안 정도의 대책이 SMS에도 적용해야 한다고 주장했다.

◆ 관심사는 비밀번호에서 팬더로 이동

보안 연구팀 리시큐리티(Resecurity)의 최신 보고서는 SNS 피싱의 위협이 얼마나 위험한지를 다시 한 번 보여주고 있다. 리시큐리티는 적어도 2023년부터 활동하고 있는 스미싱 트라이어드(Smishing Triad)라는 범죄 조직을 추적하고 있는데, 이 그룹은 전 세계적으로 범죄를 계획하는 중국의 사이버 범죄 조직이라고 한다. 이 조직은 최근 일반화된 ‘서비스형 범죄(Crime-as-a-Service) 모델을 채용했으며, 여러 조직이 협력해 전 세계 피해자를 표적으로 삼고 있다.

리시큐리티에 따르면 중국의 위협 행위자 한 명이 하루 최대 200만 건의 피싱 SMS를 전달할 수 있다. 스미싱 트라이어드 전체로는 매월 6000만 건, 연간으로는 7억 2000만 건의 공격이 가능하다는 얘기다. 스미싱 트라이어드는 통신사업자의 SMS 게이트웨이뿐 아니라 애플의 i메시지, RCS(리치 커뮤니케이션 서비스)를 이용할 수 있는 구글의 구글 메시지를 통해서도 피싱을 확산시키고 있다.

리시큐리티는 지난 3월, 판다 샵(Panda Shop)」이라는 SNS 피싱 키트를 확인했다. 이는 스미싱 트라이어드 서비스와 같은 수법을 사용하는 것으로 보인다. 리시큐리티의 보고서에 따르면 판다 샵 키트는 여러 텔레그램 채널과 대화형 봇을 사용해 애플의 I메시지나 안드로이드의 구글 메시지를 통해 자동으로 서비스를 제공한다.

스미싱 트라이어드와 마찬가지로 판다 샵도 임의의 서버에 배포할 수 있는 맞춤형 스미싱 키트를 제공한다. 리시큐리티 조사팀은 판다 샵 그룹에 전 스미싱 트라이어드 멤버가 포함돼 있으며, 판다 샵 자체가 스미싱 트라이어드 그룹의 또 다른 브랜드일 가능성도 있다고 지적하고 있다. 실제로 판다 샵의 피싱 키트 구조나 스크립트 동작 패턴은 이전 키트와 매우 유사하다고 한다.