2025년 최대 규모 보안 참사가 터졌다. 애플, 구글, 페이스북 등 주요 플랫폼 계정 1억 8천만 개가 통째로 털렸고, 비밀번호부터 개인정보까지 모든 게 평문 상태로 인터넷에 노출됐다.
오해가 있을 수 있는데 구글이 뚫린다던지 기업이 해킹된 게 아닌, 인포스틸러 악성코드로 수집된 데이터가 한 곳에 집약된 전례 없는 사태다. 국내에서도 SK텔레콤, YES24 등 연쇄 보안 사고가 이어지면서 개인정보 보호에 대한 우려가 커지고 있다.
역사상 최악의 개인정보 데이터 유출
2025년 5월, 보안 전문가 Jeremiah Fowler이 충격적인 발견을 했다. 아무런 보안 설정 없이 방치된 ElasticSearch 데이터베이스에서 무려 184,162,718개의 계정 정보를 찾아낸 것이다.
여기서 정말 끔찍한 건 데이터가 암호화조차 되지 않은 채 그대로 저장되어 있었다는 점이다. 사용자명, 비밀번호, 이메일 주소, 로그인 URL, 인증 토큰까지 누구나 볼 수 있는 상태였다.
이번 사건은 특정 회사가 해킹당한 게 아니라 더 심각하다. 인포스틸러라는 악성코드에 감염된 개인 사용자들의 기기에서 몇 년간 수집된 정보들이 한데 모인 거대한 데이터셋이었다.
어떤 플랫폼들이 털렸나 💀
피해 범위를 보면 정말 어마어마하다. 우리가 일상적으로 쓰는 거의 모든 주요 서비스가 포함됐다.
▲ Gmail과 구글 계정부터 시작해서 페이스북, 인스타그램, 스냅챗 같은 SNS, 마이크로소프트, 애플, 아마존까지 빅테크 전반이 타격을 받았다. 여기에 로블록스, 디스코드, 넷플릭스, 스포티파이, 페이팔, 트위터, 야후까지 포함됐으니 말 다했다.
더 심각한 건 전 세계 29개국 정부 포털의 .gov 이메일 주소까지 노출됐다는 점이다. 개인 계정만이 아니라 공공기관 정보까지 유출된 셈이다.
| 피해 플랫폼 카테고리 | 주요 서비스 | 위험도 |
|---|---|---|
| 이메일/클라우드 | Gmail, 야후메일, 아웃룩 | 극높음 |
| 소셜미디어 | 페이스북, 인스타그램, 트위터, 스냅챗 | 높음 |
| 결제/금융 | 페이팔, 아마존, 애플페이 | 극높음 |
| 엔터테인먼트 | 넷플릭스, 스포티파이, 로블록스, 디스코드 | 중간 |
| 정부기관 | 29개국 .gov 도메인 | 극높음 |
인포스틸러가 뭘까 🕷️
이번 사태의 주범은 인포스틸러(InfoStealer)라는 악성코드다. 이름 그대로 정보를 훔치는 게 목적인 프로그램이다.
작동 방식을 보면 정말 소름끼친다. 사용자 몰래 컴퓨터에 설치되어 웹브라우저에 저장된 비밀번호, 쿠키, 자동완성 정보를 빼돌린다. 키보드 입력도 실시간으로 감시해서 새로 입력하는 로그인 정보까지 캐치한다.
최근 국내에서는 저작권 위반 자료로 위장한 인포스틸러가 이메일을 통해 활발히 유포되고 있다. 2022년 통계를 보면 전체 악성코드 중 66.7%가 인포스틸러 계열일 정도로 대세가 됐다.
주요 인포스틸러 종류를 정리하면 다음과 같다 –
• FormBook – 가장 활발하게 활동 중인 악성코드, 382,612건 탐지 • AgentTesla – 브라우저 계정 정보 전문 탈취 • Lokibot – 암호화폐 지갑 정보까지 노리는 악성코드
• Redline – 이메일과 VPN 클라이언트 정보 수집
올해 국내 보안 사고들 📊
인포스틸러 사태만이 아니다. 2025년 들어 국내에서도 크고 작은 보안 사건들이 연달아 터지고 있다.
가장 큰 충격을 준 건 SK텔레콤 유심 정보 유출 사고다. 4월에 공개된 이 사건은 실제로는 2022년 6월부터 해킹당했던 게 뒤늦게 드러난 거였다. 2,500만 명의 가입자 유심 정보가 3년간 노출된 상태였다니, 생각만 해도 아찔하다.
6월에는 YES24가 랜섬웨어 공격으로 완전히 마비됐다. 새벽 4시경 시작된 공격으로 홈페이지부터 모바일 앱, 전자책 서비스까지 모든 게 다운됐다. 72시간 넘게 복구되지 않으면서 2,000만 회원들이 혼란에 빠졌다.
5월부터 6월까지는 인스타그램에서 무고한 계정들이 대량으로 강제 비활성화되는 일도 벌어졌다. AI 오류로 추정되는 이 사건으로 수많은 사용자들이 피해를 봤다.
지금 당장 해야 할 보안 대책 🛡️
이런 상황에서 가만히 있을 수만은 없다. 우선 내 계정이 이미 털렸는지부터 확인해보자.
HaveIBeenPwned.com에 들어가서 이메일 주소를 입력하면 과거 유출 사건에 포함됐는지 바로 알 수 있다. 구글 계정이 있다면 passwords.google.com에서도 자동으로 위험한 비밀번호를 체크해준다.
확인이 끝났다면 즉시 행동에 옮겨야 한다. 먼저 중요한 계정들부터 비밀번호를 바꿔라. Gmail, 페이스북, 온라인 뱅킹, 애플 ID 같은 핵심 계정들이 우선순위다.
2단계 인증 설정은 필수다. 누군가 비밀번호를 알아낸다 해도 휴대폰 인증 없이는 로그인할 수 없게 만드는 가장 확실한 방어막이다. 구글은 Google Authenticator 앱이나 문자로, 페이스북과 인스타그램은 설정 메뉴에서 쉽게 활성화할 수 있다.
비밀번호 관리 앱도 적극 활용하길 권한다. 계정마다 복잡하고 고유한 비밀번호를 자동 생성해주고, 유출 시 즉시 경고까지 해준다. 가짜 사이트에서는 자동입력을 차단해 피싱 공격도 막아준다.
마지막으로 피싱 공격에 각별히 주의해야 한다. 사이버 범죄자들이 유출된 정보로 신뢰할 만한 기업을 사칭하는 경우가 급증하고 있다. 모르는 발신자의 링크는 절대 클릭하지 말고, 웹사이트는 직접 주소를 입력해서 접속하는 습관을 들여야 한다.