역대 최대 규모의 개인정보 탈취 사고가 일어났다. 러시아 해커로 의심되는 집단이 42만 개의 인터넷 사이트를 해킹해 총 12억 명 분량의 개인정보를 빼냈다.

미국 밀워키주에 기반을 둔 보안업체 홀드시큐리티(Hold Security)는 지난주 뉴욕타임스(NYT)와의 인터뷰를 통해 이 사실을 처음으로 알렸다. 해킹을 당한 웹사이트를 구체적으로 공개하지는 않았지만 인터넷 아이디와 비밀번호 등 45억 개의 개인정보가 해커의 손에 넘어갔다고 밝혔다. 중복되는 계정을 지워도 총 12억 명 분에 달한다.

다행히 은행계좌 비밀번호 등 민감한 금융정보는 포함되어 있지 않았다. 그러나 사상 최대 규모의 개인정보 유출이라는 점과 해당 보안업체를 제외한 누구도 해킹 사실을 알지 못했다는 점에서 충격을 주고 있다.

개인정보 45억 개 해킹… 중복 제외해도 12억 명 분량

'사이버보르(CyberVor)'라 불리는 문제의 해커 집단은 러시아 중부 도시에서 활동하는 신생 그룹이다. 홀드시큐리티 측은 이들이 지난 4월부터 본격적으로 해킹을 시작했다고 밝혔다.

해킹 방법은 의외로 간단했다. 우선 일반인의 컴퓨터에 악성 바이러스를 심어 좀비PC를 만든 후 자기 것처럼 조종한다. 이후 수백에서 수천 대에 이르는 좀비PC를 이용해 목표 웹사이트에 특정 데이터베이스에 접근할 수 있는 에스큐엘(SQL) 명령어를 반복적으로 전송한다. 이를 'SQL 주입'이라 부른다.

명령어를 받아들인 웹사이트가 반응을 보이면 보안이 취약하다는 뜻이므로 그때부터 본격적으로 개인정보를 빼내기 시작한다. 이러한 방식으로 내부 정보가 유출된 웹사이트가 42만 개에 달한다. 해킹으로부터 데이터베이스를 지켜낸 사례까지 합치면 수백만 개의 웹사이트가 공격을 받았다고 보여진다. 이 중에는 경제전문지 포춘(Fortune)이 선정한 글로벌 500대 기업도 포함되어 있다는 분석이다.

이렇게 해서 빼낸 웹사이트 아이디, 비밀번호, 이메일 주소의 세트 개수만 45억 건에 달한다. 같은 인물의 계정이라 중복되는 정보를 제외해도 총 12억 명에 해당하는 분량이다. 사상 최대 규모다.

해킹으로 얻어낸 개인정보는 은행이나 증권 업무에 관련된 금융정보가 아니어서 아직 추가 범죄에 악용되지는 않은 것으로 보인다. 지금까지는 스팸메일을 보내려는 업자들에게 이메일 주소를 팔아넘기거나 타인 계정의 소셜네트워크 서비스(SNS)에 광고성 게시물을 올리는 데에만 사용되었다.

주요 사이트 정보 바꾸고 무선랜에도 비밀번호 걸어야

그러나 이번에 유출된 개인정보를 이용해 새로운 범죄를 저지를 수 있으므로 가급적 주요 사이트의 비밀번호를 변경하는 것이 좋다. 해킹이 아니더라도 비밀번호를 주기적으로 바꾸는 습관은 사이버 범죄의 희생이 될 위험을 낮춰준다.

비밀번호의 조합을 복잡하게 하는 것도 단순한 해킹을 막아내는 데 효과적이다. 알파벳과 숫자를 섞어서 쓰되 생일이나 집주소처럼 개인정보와 연결된 숫자는 사용하지 않는 것이 좋다. 알파벳과 숫자를 번갈아 적는 것도 방법이다. 예를 들어 ‘abcd’와 ‘1234’를 비밀번호에 자주 사용한다면 ‘a1b2c3d4’처럼 뒤섞는 편이 낫다.

전문가들은 회원으로 가입한 웹사이트에서만 개인정보가 새나가는 것은 아니라고 지적한다. 가정용 무선 인터넷 공유기도 손쉽게 해킹을 당할 수 있기 때문이다. 비밀번호는 반드시 걸어 놓고 주기적으로 변경해야 한다.

이메일 주소를 용도에 따라 구분해서 사용하는 것도 보안에 효과적이다. 특정 이메일 주소는 회원 가입용으로만 사용하면 스팸메일이 와도 한 곳으로 집중되기 때문에 손쉽게 처리할 수 있다. 업무용으로 사용할 메일이나 지인들 연락할 메신저에는 회원 가입용과는 다른 별도의 이메일을 입력하는 것이 좋다.