지난 5월 중순, 보안 연구자가 암호화되지 않은 상태로 웹사이트에 노출된 1억 8,400만 개의 비밀번호 데이터베이스를 발견했다고 밝혔다. 해당 데이터에는 구글, 마이크로소프트, 페이스북, 애플은 물론 은행 및 정부 기관 관련 정보도 포함되어 있었다.

해당 47GB 규모의 대형 데이터베이스는 현재 삭제되었지만, 그 존재만으로도 간과해서는 안 될 2가지 주요 보안 위협을 경고하고 있다. 바로 ‘인포스틸러(정보 탈취형 악성코드)’를 통한 비밀번호 탈취와, 이미 유출된 계정 정보의 추가 악용 가능성이다.

인포스틸러는 조용히 침투하고, 강력하게 훔친다

Shutterstock.com / solarseven

인포스틸러(Infostealer)는 PC 또는 스마트폰에 설치돼 로그인 정보, 쿠키, 암호화폐 지갑 정보, 자동완성 데이터 등 브라우저에 저장된 민감한 정보를 수집해 공격자에게 전송하는 악성코드다. 한 번 감염되면 은행 정보부터 이메일 계정까지, 비밀번호의 복잡성과는 무관하게 탈취될 수 있다.

인포스틸러 감염 경로는 다음과 같다:

• 정상 앱처럼 작동하는 브라우저 확장 프로그램이나 앱을 설치했지만, 백그라운드에서 사용자 정보를 빼돌리는 경우
• 공식 사이트를 가장한 악성 링크를 클릭하여 설치한 소프트웨어
• 불법 다운로드 사이트를 통한 크랙 프로그램 실행 시 함께 설치되는 악성코드

이를 피하려면 다음 수칙을 지켜야 한다:

1. 신뢰할 수 있는 출처에서 소프트웨어 설치 (기술 커뮤니티나 보안 전문가가 검증한 제품)
2. 검색 결과 클릭 전 URL 검증
3. 정기적인 백신 스캔 및 업데이트 확인

위험 2 : 유출된 계정 정보는 지금도 해킹에 악용될 수 있다

PCWorld

유출 여부를 직접 확인하긴 어렵지만, 나도 피해자일 수 있다는 가정 하에 선제 대응하는 것이 최선이다.

계정 보안을 강화하는 방법

• 2단계 인증(2FA) 활성화: 비밀번호 외에 인증 수단을 추가하여 보안 강화
• 패스키(Passkey) 사용: 해커가 탈취해도 재사용할 수 없는 방식의 인증 도입
• 민감한 계정의 비밀번호 변경: 이메일, 은행 계정 등 주요 계정은 강력한 비밀번호로 교체

하지만 이 모든 보호 조치에도 불구하고, 인포스틸러는 ‘인증 쿠키’ 자체를 훔칠 수 있기 때문에 로그인된 상태가 유지되는 한 계정 탈취가 가능하다는 점에서 더욱 위협적이다. 따라서 PC나 스마트폰을 안전하게 유지하는 것 자체가 보안의 출발점이다.

Chris Hoffman / IDG

보안 점검 체크리스트

1. PC에서 백신 검사 실행
2. 설치된 앱 및 브라우저 확장 프로그램 확인
3. 출처 불분명한 소프트웨어 제거
4. 2FA 활성화
5. 주요 계정 비밀번호 변경
6. 패스키 생성 및 백업 장치에 저장

특히 패스워드를 완전히 제거하고 패스키로만 로그인할 경우 복구 수단이 없으면 계정 잠금 가능성이 있으므로, 백업 패스키나 대체 로그인 수단을 반드시 확보해야 한다.

온라인 보안은 여전히 복잡하고 번거롭지만, 지금처럼 AI가 사이버 공격에 악용되는 시대에서는 더 이상 미룰 수 없는 문제다. 작은 습관의 변화가 큰 피해를 막을 수 있다.
dl-itworldkorea@foundryco.com