지메일과 핫메일, 야후 그리고 러시아에서 널리 쓰이고 있는 메일(Mail.ru) 같은 웹메일 서비스에서 2억 2,700만 건에 달하는 엄청난 양의 이메일 주소와 비밀번호가 유출된 것으로 밝혀졌다. 자세한 내용은 서비스마다 조사 중이지만 만일을 위해 비밀번호를 변경해두는 편이 좋을 것으로 보인다.

이 사상 최대 수준의 유출 사건은 보안 기업인 홀드시큐리티(Hold Security)에 의해 밝혀진 것이다. 이 기업 설립자인 알렉스 홀든에 따르면 유출 주소는 러시아 메일 서비스가 5,700만 건, 야후 4,000만 건, 핫메일 3,300만 건, 지메일 2,400만 건이다. 그 밖에 독일이나 중국 이메일 서비스도 포함되어 있다고 한다.

이 사건이 밝혀진 것 젊은 러시아 해커가 포럼에서 자신의 해킹을 자랑하던 내용을 홀드 시큐리티 측이 찾으면서 이뤄진 것. 이 러시아 해커는 해킹으로 입수한 주소 정보를 11억 7,000만 건 보유하고 있어 데이터를 원하는 사람에게 무료로 나눠줄 용의가 있다고 밝히고 있었다고 한다.

놀라운 사실은 배포 조건으로 러시아 해커가 제시한 내용은 포럼에서 자신을 칭찬하는 내용을 쓰라는 것. 이 조건을 충족하는 사람에겐 전체 데이터를 단돈 50루블(한화 871원)에 주겠다고 밝혔다는 것이다.

홀드 시큐리티가 데이터를 분석한 결과 중복 부분을 뺀 데이터 총수는 2억 2,700만 건이다. 이 가운데 같은 주소에 다른 암호와 짝을 이룬 것도 포함되어 있다.

유출 관련 통보를 받은 러시아 메일 서비스 측은 조사를 통해 실제 피해 상황이 예상만큼 심각하지 않다고 발표했다. 실제 사용자 이름과 암호를 매칭해보면 현재 사용되고 있는 건 거의 발견되지 않았다는 게 이유다. 이는 과거 암호를 바꾼 오래된 데이터가 그대로 들어 있다는 얘기다. 하지만 홀드 시큐리티 측은 안심해선 안 된다고 지적하고 있다. 이유는 사용자가 암호를 계속 돌아가면서 사용하는 경향이 있기 때문이다. 보통 암호를 설정할 때 바로 떠올리는 걸 쓰는 경향이 있고 깜빡 잊는 걸 막기 위해 여러 서비스에 암호를 사용하는 경향도 있다. 따라서 이전 암호를 되살려 다시 사용하는 일도 드물지 않다.

구글이나 야후, 마이크로소프트는 현재 조사 중인 만큼 별도 언급을 하고 있지 않다. 대량 계정 정보를 실질적으론 무료 배포 상태로 노출되어 있었다는 것도 무서운 사건이지만 사용자가 취할 수 있는 자기 방어 방법이 역시 암호 관리 강화라는 걸 생각해보면 누구나 생각할 만한 암호는 피하고 비밀번호 생성 소프트웨어 등을 이용해 만든 복잡한 암호를 쓰고 정기적으로 암호를 업데이트, 비밀번호 관리 소프트웨어로 관리하는 대책이 중요하다고 할 수 있다. 관련 내용은 이곳에서 확인할 수 있다.

한종진 IT칼럼니스트  hancook@hanmail.net

<저작권자 © 테크홀릭, 무단 전재 및 재배포 금지>