애플·구글·페이스북 등 160억건 로그인 정보 유출...로그인 방식 대변화 예고

애플, 구글, 페이스북 등 주요 플랫폼에서 160억 건이 넘는 로그인 정보가 유출되면서 중앙화된 데이터 시스템의 취약성이 드러났다. 전문가들은 사용자 신원 보호를 위해 탈중앙화되고 안전한 아키텍처가 시급히 필요하다고 경고했다.

사이버보안 연구진은 역사상 최대 규모의 데이터 유출 사고 중 하나를 발견했다. 애플, 구글, 페이스북, 깃허브, 텔레그램 등 주요 플랫폼의 160억 건이 넘는 로그인 정보가 온라인상에 노출됐다.

사이버뉴스가 보도한 이번 유출 사고는 올해 발견된 30개의 대규모 데이터셋에서 비롯됐다. 각 데이터셋은 수천만에서 35억 건의 기록을 포함하고 있으며, 잘못 구성된 클라우드 저장소나 엘라스틱서치 인스턴스를 통해 접근이 가능했다.

오픈레저의 핵심 개발자인 람 쿠마르는 벤징가와의 인터뷰에서 이번 유출 사고의 근본적인 문제를 지적했다. "이번 유출은 단순한 사이버보안 실패가 아닌 법적, 구조적 실패다. 대규모 사용자 데이터를 수집하고 보관하는 중앙화된 플랫폼들이 용납할 수 없는 수준의 보안 위험을 만들어내고 있다"고 말했다.

쿠마르는 이러한 위험을 줄이기 위해 온체인 속성, 암호화된 식별자, 제로지식 증명을 사용하는 탈중앙화 시스템으로의 전환을 주장했다.

한 데이터셋에만 35억 건의 기록이 포함된 이번 유출 사고는 사용자명, 비밀번호, 세션 데이터를 감염된 기기에서 추출하는 정보 탈취 멀웨어의 증가하는 위협을 보여준다.

1인치 랩스의 법무책임자인 오레스트 가브릴리악은 웹3의 잠재력을 강조했다.

가브릴리악은 벤징가와의 인터뷰에서 "웹3는 유망한 해결책을 제시한다. 1인치와 같은 플랫폼은 설계상 사용자 인증 정보를 저장하지 않아 이러한 유형의 유출 사고의 영향을 최소화한다"고 설명했다.

그는 비수탁 지갑을 통한 사용자 제어 신원의 중요성을 강조하면서도 프라이버시와 책임성의 균형을 맞추기 위해 규제 기관과의 협력이 필요하다고 촉구했다.

도우로 랩스의 법률고문인 브랜든 페릭은 즉각적인 해결책을 제시하며 "기업들은 무료 비밀번호 관리자, ID 보호, 신용 모니터링을 제공하고 이러한 대규모 유출 사고를 감독 당국에 보고해야 한다"고 말했다.

그는 향후 사고 예방을 위해 투명성과 정기적인 암호화, 다중인증과 같은 강화된 보안 조치를 촉구했다.

에이펙스 퓨전 재단의 법무책임자인 안자 블라즈 자이크는 벤징가와의 인터뷰에서 전 세계의 데이터 보호 규정에 따라 기업들은 개인의 권리와 자유에 높은 위험이 될 수 있는 유출 사고를 영향을 받은 개인과 관련 감독 당국에 통지해야 한다고 강조했다.

그녀는 강력한 사고 대응 프로토콜과 탈중앙화 신원(DIDs), 제로지식 증명과 같은 탈중앙화 기술 도입을 통한 보안 강화를 강조했다.

텔레그램이나 러시아 출처를 나타내는 라벨이 붙은 일부 데이터셋은 위협 행위자들에 의해 악용되고 있어, 일부 인증 정보만 성공적으로 사용되더라도 위험이 증폭될 수 있다.

연구진은 일부 데이터가 중복될 수 있지만, 데이터셋당 평균 5억5천만 건의 기록이라는 방대한 규모로 인해 이는 매우 심각한 문제라고 지적했다.

정부 포털과 기업 시스템의 인증 정보 노출은 상황을 더욱 심각하게 만들고 있다.

전문가들은 사용자들에게 즉시 비밀번호를 업데이트하고, 복잡한 비밀번호를 사용하며, 다중인증을 활성화하고, 멀웨어 검사를 실시할 것을 촉구했다.

그들은 중앙화된 웹2 아키텍처가 점점 더 지속 불가능해지고 있다고 강조하며, 디지털 신원 보안을 재정의하기 위한 웹3 솔루션으로의 전환을 주장했다.