혹시 당신 비밀번호도
지금 다크웹에 올라와 있을지도 모릅니다.

"비밀번호 변경하세요."
요즘 이런 알림, 한 번쯤 받아보셨을 겁니다. 대수롭지 않게 넘겼다면 이번만큼은 다시 생각해 봐야 할지도 모르겠습니다.
​
최근, 한 보안 매체가 공개한 조사 결과는 충격적이었습니다.
애플, 구글, 페이스북 같은 글로벌 서비스에서 160억 개가 넘는 로그인 정보가 유출된 정황이 확인된 겁니다.
말 그대로, 전 세계 사용자 누구라도 예외가 될 수 없는 규모입니다.

구체적인 유출 방식과 그 심각성

이번 유출은 단순히 오래된 정보가 재확산된 수준이 아닌데요. 이전에 노출된 적 없는, 신규 유출 정보가 다수를 차지한다는 점에서 사태의 무게가 다릅니다.
​
유출 경로는 인포스틸러라는 악성코드로 추정되며, 이 코드가 사용자 기기에서 VPN, 메일, SNS, 개발자 포털, 금융앱 등의 자격 증명을 빼낸 것으로 분석되고 있습니다.

더 큰 문제는 이 정보들이 사이트 주소, 아이디, 비밀번호 형태로 정리되어
이미 다크웹에서 판매되고 있다는 점입니다.
​
누군가는 이 정보를 사고, 또 누군가는 그걸 사용하고 있을 수 있다는 현실.
피해가 이미 진행 중일 가능성도 충분히 있습니다.

나는 괜찮을?... 그 생각이 가장 위험할 수 있습니다.

실제로 저 역시 보름 전,
36,000명 팔로워가 있는 인스타그램 계정의 비밀번호가 알림 한 통 없이 변경되는 일을 겪었습니다.
​
변경 직후, 이메일로 '비밀번호가 변경되었습니다'라는 메일이 왔지만 그 메일을 한 시간 뒤에야 확인하게 되었고,
그 순간 등골이 서늘해졌습니다.
​
다행히 즉시 비밀번호를 다시 바꾸는 조치를 취하면서 직접적인 피해는 발생하지 않았습니다.

하지만 그 경험은
'나는 괜찮겠지'라는 생각이 얼마나 위험한지를 몸소 느끼게 해준 계기가 됐습니다.
​
Have l Been Pwned 같은 사이트에서
본인의 이메일을 입력해 유출 여부를 확인해 보세요. 이미 이력이 있다면 지금 당장 조치가 필요합니다.

지금 할 수 있는 현실적인 보안 점검

1). 비밀번호 교체
메일, 금용, SNS 같은 핵심 계정은 더 이상 미루지 말고 바꾸세요.
같은 비밀번호를 여러 곳에 사용해왔다면, 모두 함께 변경하는 것이 좋습니다.
​
2). 패스키 전환 고려
지문이나 얼굴 인식으로 로그인하는 '패스키'는 비밀번호 자체를 없애는 방식이라 유출이나 피싱에 매우 강합니다.
​
3). 이중 인증(MFA) 활성화
해커가 비밀번호를 알아내더라도, 문자 인증이나 인증 앱이 추가 방어선 역할을 해줍니다.