[뉴스스페이스=김정영 기자] 최근 전 세계에서 1억8300만개가 넘는 이메일 계정 비밀번호가 유출되는 대규모 데이터 침해 사건이 발생했다. 이 가운데 수백만 개의 계정은 구글(Google) Gmail과 연동된 것으로 확인됐다. 이번 사건은 호주 보안 연구자 트로이 헌트(Troy Hunt)가 운영하는 데이터 유출 감시 사이트 ‘Have I Been Pwned’에 10월 21일 공개되면서 알려졌다.

Troy Hunt, Synthient 보안 보고서, Forbes, Yahoo News, NDTV Profit, NYPost에 따르면, 유출된 데이터는 약 3.5테라바이트에 달하며, 총 230억개의 레코드가 포함돼 있다. 이 데이터는 ‘인포스틸러(infostealer)’ 악성코드가 감염된 기기에서 수집한 로그인 정보, 웹사이트 URL, 이메일 주소와 패스워드가 포함되어 있다. Synthient라는 사이버 보안 기업의 연구진은 1년에 걸쳐 텔레그램, 다크웹 포럼, 소셜미디어 등 지하 채널을 모니터링하며 이 정보를 수집했다.

이 데이터셋에는 1640만개 이상의 이메일 주소가 기존 데이터 유출 기록에 나타난 적 없는 신규 주소로 포함돼 있어, 해커들이 꾸준히 새로운 정보를 수집하고 있음을 보여준다. 그러나 91%는 이전에 이미 알려진 유출 정보와 중복된다. 이처럼 활성화된 패스워드가 포함되어 있어 다양한 플랫폼에서 자격 증명 스터핑(credential stuffing) 공격 위험이 크게 증가하는 상황이다.

구글 측은 이번 사건이 "Gmail 서버의 직접적인 보안 침해 사건이 아니라는 점"을 분명히 밝혔다. 공식 입장에 따르면, 해당 계정 침해는 사용자 기기가 악성코드에 감염되어 발생한 문제이며, "'수백만 사용자가 영향을 받는 Gmail 보안 침해'라는 보도는 사실이 아니다"라고 밝혔다.

한편, Synthient의 벤자민 브런대이지(Benjamin Brundage)는 모니터링 당시 하루 최대 6억건의 도난된 자격 증명을 기록했다고 밝히며, 인포스틸러 악성코드의 활동이 올해 들어 급증했다고 강조했다. 2025년 상반기에만 도난된 자격 증명이 800% 증가한 것으로 분석되며, 이는 공격자들이 악성코드와 다양한 피싱 수법으로 사용자의 정보를 은밀히 빼내고 있음을 의미한다.

이에 구글은 사용자들에게 2단계 인증(2FA) 활성화와 패스키(passkeys) 등 새로운 인증 수단 도입을 권장했다. 사용자는 Have I Been Pwned 웹사이트를 방문하여 자신의 이메일이 유출되었는지 즉시 확인할 수 있으며, 비밀번호 변경과 다단계 인증 활성화를 신속히 실행하는 것이 필수적이다.

이번 사건은 악성코드 기반의 인포스틸러 공격이 글로벌 사이버 보안 위협의 핵심으로 떠오르고 있음을 보여주며, 사용자와 기업 모두 경각심을 갖고 강화된 보안 대책 마련이 절실함을 다시 한번 일깨우고 있다.