세계 규모의 데이터 유출로 160억 건의 비밀번호가 위험에! 역사적인 데이터 유출은 "비밀번호 시대의 종언 선언"인가

1. 역사상 최대의 "자격 증명 쓰나미" —— 무슨 일이 일어난 것인가

6월 20일 새벽, 인도의 NDTV Profit이 "Massive Data Breach: 16 Billion Passwords Leaked"라는 제목의 기사를 배포했다. 이 기사에서는 "전례 없는 160억 건의 인증 정보가 다크 포럼에서 확인되었다"고 보도하여 전 세계의 주목을 받았다.ndtvprofit.com

동 기사에 따르면, 유출된 30개의 데이터 세트에는 각 세트당 수천만에서 35억 건의 행이 포함되어 있으며, Apple ID, Google 계정, Facebook 로그인 외에도 개발자를 위한 GitHub 및 정부 서비스의 세션 토큰까지 포함되어 있다고 한다.

2. "Mother of All Breaches"의 재림?

이 숫자는 2024년 1월에 세상을 떠들썩하게 했던 "MoAB(Mother of All Breaches: 총 260억 건)"과 비교해도 큰 충격을 준다. 하지만 MoAB가 **과거 10년 간의 알려진 유출을 묶은 "묘지"**였다면, 이번 세트는 "최신 인포스틸러 감염 단말기에서 수집한 '살아있는' 쿠키와 토큰이 다수 포함되어 있다"는 점이 다르다고 연구자들은 지적한다.news.com.au

3. 어디서 유출되었나? —— 인포스틸러 경제권의 어두운 면

Forbes는 "피해 기업 자체가 해킹된 것이 아니라, 개별 PC나 스마트폰이 악성코드에 감염되어 브라우저에 저장된 자격 증명이 추출되었다"고 설명한다.forbes.com

실제로, Raccoon, Vidar, Lumma 등 월 몇십 달러로 이용 가능한 MaaS(Malware-as-a-Service)가 범행의 온상이 되고 있다. 암호화된 ZIP으로 판매되는 "로그"에는 비밀번호뿐만 아니라 자동 로그인을 위한 세션 토큰과 자동 입력용 주소 및 신용카드 정보까지 포함되어 있어, 범죄자는 2FA 우회나 피싱 없이 즉시 계정을 탈취할 수 있다.

4. 전문가의 견해와 냉소적인 목소리

영국의 보안 연구자 Troy Hunt 씨(Have I Been Pwned 관리자)는 X에서 "'16 Billion'이라는 헤드라인은 주목을 끌지만, 신규 유출은 전체의 4분의 1 정도. 숫자만 믿고 패닉에 빠질 필요는 없다"고 냉정한 분석을 게시했다.twitter.com
Reddit의 r/cybersecurity에서는 "오래된 데이터를 재포장한 것에 불과하다", "매체가 클릭을 유도하는 상투적인 수단"이라는 회의적인 스레드가 급증했다.reddit.com

한편, Tom's Guide의 라이브 업데이트에서는 "신구 혼재라 하더라도 2025년 2분기 이후의 신선한 기업 VPN 자격 정보가 2500만 건 이상 포함되어 있다"고 경고하고 있다.tomsguide.com

5. SNS가 비추는 "두 가지 온도차"

• 아비규환파：「160억 건이라고!? 당장 모든 비밀번호를 바꿔야 해💀」―― 일반 사용자의 게시물이 X의 트렌드에 올랐다.twitter.com

• 냉소적 무드파：「또 '최대급'인가. MoAB의 재탕이겠지」―― Reddit /r/pcmasterrace에서는 냉소적인 댓글이 3000개 이상의 업보트를 획득했다.reddit.com

• 실무가파：Tether사 CEO인 Paolo Ardoino 씨는 「비밀번호라는 개념이 한계다. 우리는 생체＋암호 키를 연결한 'PearPass'로 이동한다」라고 발표하여 Web3 업계의 관심을 모았다.twitter.com

이러한 반응은, 최종 사용자가 "자신의 일"로서 위기를 인식하는 층과, 정보 과다로 경고에 익숙해져 버린 층으로 양극화되어 있는 실태를 보여준다.

6. 피해 예상 시나리오――무엇이 일어날 수 있는가

1. 대규모 크리덴셜 스터핑
   자동화 도구로 Netflix, Steam, Apple ID에 일제히 로그인. 성공률 1%라도 1억 6천만 건이 돌파 가능.

2. 정부 이메일 악용에 의한 APT 침입
   유출 리스트에는 .gov나 .mil 도메인도 확인되어, 표적형 공격의 발판으로.the-sun.com

3. 암호 자산 월렛의 "공격"
   Seed가 아닌 세션 쿠키를 탈취함으로써, 이중 인증을 회피한 즉시 송금도 기술적으로 가능하다.

4. AI 생성 피싱의 정밀도 향상
   유출 이메일을 학습 데이터로 하여, 본인과 흡사한 문장으로 속이는 "Vishing AI"가 검증 단계에 들어가고 있다.

7. 기업의 반응

• Google는 같은 날 공식 블로그에서 "2025년 내에 모든 계정에 패스키 사용을 기본값으로 설정한다"고 선언했습니다.

• Apple은 iOS 19 베타에서 "자동 패스키 전환 어시스턴트"를 테스트 중이라고 보도되었습니다.

• Meta는 기업용 Business Suite에 비밀번호가 필요 없는 "Meta Verified" 로그인 도입을 예정하고 있습니다.
  （※각 사의 발표 내용은 NDTV, Forbes, Tom’s Guide의 인터뷰를 종합）ndtvprofit.com

8. 일반 사용자가 취해야 할 6가지 단계

1. 모든 주요 서비스의 비밀번호를 고유화

2. 비밀번호 관리자(1Password / Bitwarden 등) 채택

3. MFA를 SMS에서 TOTP(Google Authenticator 등)로 전환

4. 정기적으로 HaveIBeenPwned에서 이메일 유출을 확인（무료）.reddit.com

5. 불필요한 계정 삭제 및 오래된 OAuth 토큰의 무효화

6. “Cannot autologin” 설정으로 중요한 사이트의 쿠키 자동 저장을 비활성화

9. 법규제와 패스워드리스의 미래

EU에서는 NIS2 지침이 2025년 10월에 시행될 예정이며,“기밀성이 높은 인증 정보를 평문으로 저장한 경우 최대 연간 매출액의 7% 벌금”이라는 문구가 포함되었습니다. 미국도 "National Cybersecurity Strategy"에서 연방 기관의 패스키 의무화를 내세우고 있습니다. 이러한 규제가비밀번호→패스키전환을 촉진할 가능성이 높습니다.

10. 마무리

이번 160억 건 유출은 숫자만 보면 확실히 "역대 최대"급입니다. 그러나 실상은 **신구 데이터의 "모음집"이며, 위협의 핵심은"비밀번호 자체의 한계"와 "사용자 측의 자만"에 있습니다. 기술적 해결책은 점차 패스키로 모이고 있지만, 최전선은 여전히 "인간의 행동 변화"에 달려 있습니다. 우리 각자가“또 하나의 방화벽”**이 될 수 있는지가 시험되고 있습니다.