역사상 최대 규모 비밀번호 유출, 당신의 계정도 위험할 수 있다

 

TL;DR: 2025년 6월 19일, 애플·구글·페이스북 등 글로벌 서비스 160억건의 로그인 정보가 유출되었습니다. 기존 유출과 달리 90% 이상이 새로운 데이터로, 즉시 비밀번호 변경과 2단계 인증 설정이 필요합니다.

 

2025년 6월, 사이버보안 역사상 전례 없는 대규모 데이터 유출 사건이 발생했습니다. 리투아니아 기반 보안 전문매체 사이버뉴스(Cybernews)가 발견한 이번 유출은 총 160억건에 달하는 로그인 정보를 포함하며, 단순히 과거 데이터의 재탕이 아닌 대부분 새로운 유효 계정 정보라는 점에서 더욱 심각합니다.

 

이번 사건은 개별 기업의 해킹이 아닌, 인포스틸러(정보 탈취 악성코드)를 통해 수개월간 수집된 데이터가 한꺼번에 노출된 케이스입니다. 한국 사용자들도 예외가 아니며, 특히 동일한 비밀번호를 여러 서비스에서 재사용하는 경우 심각한 위험에 노출될 수 있습니다.

---

왜 이번 유출 사건이 특별히 위험한가?

기존 유출과 다른 점은 무엇인가?

과거 대부분의 데이터 유출은 특정 기업의 단일 해킹 사건이었습니다. 하지만 이번 사건은 완전히 다른 양상을 보입니다.

이번 유출은 30개의 초대형 데이터셋에 각각 수천만~35억건씩, 총 160억건의 로그인 정보가 담겨 있으며, 이 중 90% 이상이 과거에 보고된 적 없는 '신규' 데이터입니다.

 

더욱 우려스러운 점은 데이터의 구조화 수준입니다. 단순히 아이디·비밀번호만이 아니라, 인증 토큰, 쿠키, 로그인 URL 등 계정 탈취에 필요한 모든 정보가 '정확한 타깃 정보'와 함께 구조화되어 있어, 해커들에게 "해킹 GPS"를 제공하는 격입니다.

어떤 서비스들이 영향을 받았는가?

서비스 분야 주요 플랫폼 위험도

소셜미디어	페이스북, 텔레그램	★★★★★
클라우드/이메일	구글, 애플 ID	★★★★★
개발자 도구	GitHub, 개발자 포털	★★★★☆
VPN 서비스	다양한 VPN 업체	★★★☆☆
정부 포털	일부 국가 공공기관	★★★★☆

출처: Cybernews, 2025년 6월 19일 보도

---

무엇이 유출되었고, 어떻게 수집되었는가?

인포스틸러는 어떻게 작동하는가?

이번 유출의 근본 원인은 인포스틸러(정보 탈취 악성코드)입니다. 이 악성코드는 사용자 모르게 컴퓨터에 설치되어 다음과 같은 정보를 수집합니다:

• 저장된 비밀번호: 브라우저에 저장된 모든 로그인 정보
• 인증 쿠키: 자동 로그인을 위한 임시 인증 토큰
• 브라우징 기록: 사용자가 접속하는 웹사이트 패턴
• 결제 정보: 일부 경우 저장된 카드 정보까지

데이터는 어떤 경로로 유출되었는가?

2025년 상반기 수개월간 여러 인포스틸러에 감염된 약 1000만대의 기기에서 수집된 데이터가 한꺼번에 유출·통합된 것으로 분석됩니다.

데이터셋은 주로 보안 설정이 되지 않은 서버를 사용하거나 클라우드 저장소에서 일시적으로 공개된 상태였으며, 현재 상당수는 다크웹에서 거래되고 있는 상황입니다.

---

피해자가 될 수 있는 사람은 누구인가?

한국 사용자들도 안전하지 않은 이유는?

글로벌 서비스 이용자라면 누구나 위험군입니다. 특히 다음 조건에 해당한다면 즉시 점검이 필요합니다:

✅ 위험군 체크리스트

• 애플 ID, 구글 계정, 페이스북을 사용하는 경우
• 동일한 비밀번호를 여러 사이트에서 재사용하는 경우
• 2단계 인증을 설정하지 않은 계정이 있는 경우
• VPN이나 개발자 도구를 사용하는 경우
• 정부 포털 서비스를 이용하는 경우

실제 피해는 어떤 형태로 나타날까?

사이버 범죄자들은 유출된 인증 정보를 활용해 계정 탈취, 신원 도용, 피싱 공격을 감행할 가능성이 높습니다.

구체적인 피해 사례들:

• 금융 피해: 무단 결제, 계좌 이체, 대출 신청
• 신분 도용: 타인 명의로 각종 서비스 가입
• 기업 보안 침해: 직장 계정을 통한 내부 시스템 접근
• 개인정보 2차 유출: SNS를 통한 지인 정보까지 확산

---

지금 당장 해야 할 보안 조치는?

즉시 실행해야 할 5단계 대응법은?

1단계: 주요 계정 비밀번호 전면 교체

• 애플 ID, 구글, 페이스북 등 핵심 계정부터
• 금융 관련 계정 (은행, 카드, 투자앱) 우선 처리
• 직장 관련 계정 (이메일, 클라우드, 협업도구)

2단계: 2단계 인증(2FA) 전면 활성화

권장 순서:
1. SMS 인증보다는 앱 기반 인증 선택
2. Google Authenticator, Authy 등 전용 앱 사용
3. 가능한 경우 하드웨어 키 (YubiKey 등) 검토

 

3단계: 비밀번호 관리 도구 도입

• 1Password, Bitwarden, LastPass 등 신뢰성 높은 도구
• 각 계정마다 고유한 복잡한 비밀번호 자동 생성
• 마스터 비밀번호는 절대 다른 곳에 사용 금지

4단계: 계정 보안 상태 점검

• haveibeenpwned.com에서 이메일 유출 이력 확인
• 각 서비스의 로그인 기록 확인
• 의심스러운 접속 이력 발견 시 즉시 차단

5단계: 지속적 모니터링 체계 구축

• 계정별 알림 설정 강화
• 정기적인 비밀번호 변경 스케줄 수립
• 가족 구성원 보안 교육 실시

---

패스키 시대, 비밀번호의 한계를 극복할 수 있을까?

애플과 구글이 권장하는 패스키란?

구글과 애플 등 빅테크들은 사용자들에게 패스키를 적극 도입할 것을 권장하고 있습니다. 패스키는 단순히 기억된 비밀번호에 의존하지 않고, 피싱 등에 대비하기 위한 최강의 인증 방법입니다.

패스키의 핵심 장점:

• 피싱 방지: 가짜 사이트에서는 작동하지 않음
• 편의성: 생체인증(지문, 얼굴인식)으로 간편 로그인
• 보안성: 개인키가 기기에만 저장되어 유출 불가능
• 표준화: Apple, Google, Microsoft가 공동 지원

당장 패스키로 전환하기 어렵다면?

패스키 전환이 어려운 서비스들을 위한 현실적 대안:

보안 수준 인증 방법 적용 대상

최고	패스키 + 생체인증	금융, 주요 이메일
높음	앱 기반 2FA + 고유 비밀번호	SNS, 클라우드 서비스
보통	SMS 2FA + 복잡한 비밀번호	쇼핑몰, 일반 서비스

---

기업과 정부는 어떻게 대응하고 있는가?

글로벌 빅테크의 대응 현황은?

구글, 애플, 페이스북 등은 "즉시 비밀번호를 변경하라"며 전 세계 사용자들에게 경고를 내렸습니다. 하지만 개별 사용자 통지나 구체적인 피해 규모는 아직 공개되지 않았습니다.

각 기업별 대응 수준:

• 애플: 로그인 제한 강화, 의심스러운 접속 차단
• 구글: 계정 보안 검사 도구 업데이트
• 페이스북: 보안 알림 시스템 강화
• 정부 기관: 공공 포털 보안 점검 실시

한국 정부와 기업의 준비 상황은?

현재 한국 사이버보안 당국과 주요 기업들은 다음과 같은 대응을 준비 중입니다:

• 금융권: 고객 계정 이상 거래 모니터링 강화
• 통신사: 2단계 인증 가입 독려 캠페인
• 정부: 개인정보보호 가이드라인 업데이트
• 기업: 임직원 보안 교육 및 정책 점검

---

요약 및 실천 체크리스트

이번 사건의 핵심 포인트

구분 세부 내용

규모	160억건 (역사상 최대)
특징	90% 이상 새로운 유효 데이터
피해 범위	애플, 구글, 페이스북 등 글로벌 서비스
수집 방법	인포스틸러 악성코드
위험도	★★★★★ (최고 수준)

지금 당장 실천할 보안 체크리스트

🔐 필수 조치 (24시간 내)

• [ ] 애플 ID, 구글 계정 비밀번호 변경
• [ ] 금융 관련 모든 계정 비밀번호 변경
• [ ] 2단계 인증 활성화
• [ ] haveibeenpwned.com에서 이메일 유출 확인

🛡️ 추가 보안 강화 (1주일 내)

• [ ] 비밀번호 관리 앱 설치 및 설정
• [ ] 모든 계정 고유 비밀번호로 변경
• [ ] 계정별 로그인 알림 설정
• [ ] 가족 구성원 보안 교육

📱 장기 보안 전략 (1개월 내)

• [ ] 패스키 지원 서비스부터 단계적 전환
• [ ] 정기적 비밀번호 변경 스케줄 수립
• [ ] 보안 소프트웨어 최신 상태 유지
• [ ] 의심스러운 이메일/링크 신고 체계 구축

---

마무리

이번 160억건 비밀번호 유출 사태는 단순한 해킹 사고가 아니라, 전 세계 디지털 신뢰 체계 자체를 흔드는 '글로벌 비상사태'입니다.

하지만 개인이 할 수 있는 보안 조치들을 철저히 실행한다면 피해를 최소화할 수 있습니다. 특히 비밀번호 재사용을 중단하고, 2단계 인증을 활성화하는 것만으로도 대부분의 위험을 차단할 수 있습니다.

디지털 시대에 완벽한 보안은 없지만, 올바른 습관과 도구로 안전한 디지털 생활을 만들어갈 수 있습니다. 더 많은 보안 정보와 정책 분석을 받고 싶다면 구독과 댓글로 함께해 주세요.