20억 개 이메일 주소 유출...HIBP에 전량 색인화 완료

Have I Been Pwned가 역대 최대 규모인 19억 5천만 개 이메일 주소와 13억 개 비밀번호를 포함한 크리덴셜 스터핑 데이터를 데이터베이스에 추가했다.

[한국정보기술신문] 보안 전문가 트로이 헌트가 운영하는 데이터 유출 알림 서비스 'Have I Been Pwned'가 사상 최대 규모의 데이터를 처리했다고 밝혔다. 이번에 색인화된 데이터는 정확히 19억 5,747만 6,021개의 고유 이메일 주소와 13억 개의 비밀번호를 포함하고 있으며, 이 중 6억 2,500만 개는 이전에 발견되지 않았던 새로운 비밀번호다.

이번 데이터는 지난 수 주 전에 공개된 신시엔트의 위협 인텔리전스 데이터와는 별개로, 크리덴셜 스터핑 공격에 사용되는 이메일과 비밀번호 조합을 포함하고 있다. 크리덴셜 스터핑 리스트는 주로 다른 데이터 유출 사건에서 수집된 이메일 주소와 비밀번호가 묶여서 유통되며, 사용자들이 같은 비밀번호를 여러 사이트에서 재사용하기 때문에 피해가 확산된다.

데이터 검증 작업

헌트는 데이터의 정확성을 검증하기 위해 자신을 포함한 여러 HIBP 구독자들에게 연락을 취했다. 첫 번째 응답자는 자신이 과거에 사용했던 비밀번호와 최근까지 사용한 비밀번호를 모두 확인했으며, 즉시 모든 중요 계정의 비밀번호를 변경했다고 밝혔다. 대부분의 응답자들은 10년 전에 사용했던 비밀번호를 확인했으며, 일부는 여전히 일부 계정에서 해당 비밀번호를 사용하고 있었다.

주목할 점은 검증된 비밀번호 중 상당수가 이전에 Pwned Passwords 데이터베이스에 등록되지 않았던 것으로, 8자에서 9자 길이의 비교적 단순한 비밀번호였음에도 불구하고 새롭게 발견된 것들이었다는 점이다.

지메일 유출 아닌 크리덴셜 스터핑 데이터

헌트는 이번 데이터가 지메일 유출 사건이 아니라는 점을 강조했다. 데이터에는 3,200만 개의 서로 다른 이메일 도메인이 포함되어 있으며, 그 중 gmail.com은 3억 9,400만 개로 전체의 20퍼센트를 차지한다. 나머지 80퍼센트는 지메일과 무관하며, 지메일 주소들도 구글의 보안 취약점과는 전혀 관련이 없다.

이번 데이터는 멀웨어에 감염된 피해자들의 크리덴셜을 수집한 것으로, 지메일이 가장 많은 비중을 차지하는 것은 단순히 가장 많이 사용되는 이메일 제공자이기 때문이다.

기술적 과제와 대응

HIBP 팀은 이번 데이터 처리에 상당한 기술적 어려움을 겪었다. 이전 최대 규모 유출 사건의 3배에 달하는 데이터를 기존 150억 개의 레코드를 포함한 데이터베이스에 추가하면서도 매일 수백만 명이 방문하는 라이브 시스템에 영향을 주지 않아야 했다.

데이터 처리를 위해 애저 SQL 하이퍼스케일을 80코어까지 확장해 2주간 운영했으며, 상당한 비용이 소요됐다. 590만 명의 구독자 중 290만 명이 이번 데이터에 포함되어 있어, 이메일 알림도 점진적으로 발송하는 전략을 채택했다.

비밀번호 검색 서비스 확대

모든 비밀번호는 이메일 주소와의 연관성 없이 Pwned Passwords 서비스에 추가됐다. 사용자들은 HIBP 웹사이트나 API, 1Password의 워치타워 기능 등을 통해 자신의 비밀번호가 유출됐는지 확인할 수 있다. 이번 추가로 각 해시 범위의 크기가 평균 50퍼센트 증가해 응답 크기가 약 26킬로바이트에서 40킬로바이트로 늘어났다.

헌트는 사용자들에게 비밀번호 관리자를 사용하고, 강력하고 고유한 비밀번호를 생성하며, 다중 인증을 활성화할 것을 권고했다.

한국정보기술신문 정보보안분과 오상진 기자 news@kitpa.org