갑자기 비밀번호 변경하라고? 인스타그램 사용자들 ‘불안’

일부 인스타그램 사용자들이 “비밀번호를 재설정 해달라”는 요청을 인스타그램으로부터 받는 일이 지난 주에 있었다. 해당 메일에 따라 사용자들은 비밀번호를 변경하거나 그대로 둘 수 있었다. 그런데 그런 메일이 돌기 시작한 시점에 다크웹에서 솔로닉(Solonik)이라는 한 사용자가 인스타그램 사용자의 정보라고 주장하며 약 1700만명의 개인정보를 판매하기 시작했다. 인스타그램 사용자들이 대규모 피싱 공격에 당한 것일까?

보안 기업 멀웨어바이츠(Malwarebytes)의 사이버 사기 부문 글로벌 책임인 샤학 샬레브(Shahak Shalev)는 이번 사건을 조사한 후 자사 블로그를 통해 “ 두 사건 사이에는 별다른 연관성이 없는 것 같다”고 알렸다. 즉 사용자들에게 비밀번호를 바꾸라는 식의 피싱 메일을 보내고, 거기에 속은 사용자들의 정보를 다크웹에 올린, 그런 일이 발생한 건 아니라는 것이다.

먼저 솔로닉이 다크웹에서 판매하기 시작한 인스타그램 사용자 개인정보는 사용자 이름과 ID, 이메일 주소, 전화번호, 국가로 비밀번호가 포함돼 있지 않다. “비밀번호 변경 메일을 통해 비밀번호를 훔쳤다면 당연히 그것도 판매했을 겁니다.” 샬레브의 설명이다. “두 사건은 시기만 겹칠 뿐입니다.”

이는 인스타그램 측에서도 발표한 것과 동일하다. 인스타그램은 이 두 가지 사건이 같은 시기에 발생했다는 것을 인지하고 주말 동안 조사 결과를 발표하며 “아무런 관련이 없다”고 알렸던 것이다. 당시 인스타그램은 “일부 사용자들에게만 비밀번호 재설정 요청 메일이 도착했다”며 “이는 외부의 누군가가 발동시킨 것”이라고 알리기도 했다. 그러면서 “그 문제도 해결했다”고 밝혔다.

메일은 누가 보낸 것인가?

일부 사용자들이 받은 메일은 실제로 인스타그램이 보낸 것으로 조사됐다. 애초에 피싱 메일이 아니었던 것이다. 메일의 내용은 “인스타그램 비밀번호를 재설정해 달라는 요청이 접수되었다”는 것으로 시작하는데, 이는 사용자가 비밀번호를 변경한다고 신청하면 인스타그램 측에서 발송하는 메일에 포함되는 것이기도 하다. 즉 이 이메일을 받은 사람들이 비밀번호 변경 신청을 했기 때문에 인스타그램에서 문제의 메일을 보낸 것임을 알 수 있다.

하지만 메일을 받은 사용자들은 비밀번호 변경 신청을 한 적이 없다고 한다. 누군가 사용자를 사칭해 인스타그램에 이메일을 보낸 것으로 짐작된다. 샬레브는 “외부의 해커가 인스타그램 계정들을 탈취하기 위해 무차별적인 비밀번호 살포 공격을 시도해 계정을 탈취했거나, 계정 탈취로 이어지는 인스타그램 관련 취약점이 발동된 것일 수 있다”고 설명한다. “인스타그램이 해결했다고 주장하는 문제가 바로 이 계정 탈취 및 메일 전송 공격과 관련된 취약점을 가리키는 것일 수 있습니다.” 인스타그램은 어떤 문제를 해결했는지 설명하지 않고 있다.

데이터의 정체는?

인스타그램에서 별 사건이 벌어진 게 아니라면, 솔로닉은 어떤 데이터를 판매했던 것일까? 가짜였을까? 샬레브는 “인스타그램에서 가져온 데이터는 맞다”고 블로그를 통해 밝혔다. “다만 예전에 있었던 인스타그램 관련 침해 사고들에서 나온 데이터를 누군가 한 데 모아놓은, 일종의 종합본일 가능성이 높습니다. 일부 인스타그램 사용자들이 ‘비밀번호 재설정 요청 메일을 받았다’고 주장하기 며칠 전에 다크웹 게시글이 올라오기도 했고요. 즉 시기가 겹친다고는 하지만, 미묘한 어긋남이 존재하는 겁니다.”

실제 다크웹에서 유통되는 데이터 중 태반은 ‘방금 막 해킹된 따끈따끈한 갓 정보’가 아니다. 오래된 것들을 종합적으로 모아 분류하거나 보기 좋게 정리해 둔 것이 더 많다. 판매자들 중 이러한 사실(그저 정리만 해둔 것)을 알리는 부류도 있고, 애매하게 언급하거나 언급하지 않는 부류도 있으며, 아예 ‘막 훔쳐낸 것’이라고 속이는 부류도 있다. 솔로닉은 데이터의 시기성을 언급하지 않은 부류에 속한다.

그렇다고 해서 이런 데이터가 공격자들 사이에서 아무런 쓸모가 없는 건 아니다. 여기 저기 흩어진 데이터를 모아두는 것만으로도 큰 도움이 되는 작업이기 때문이다. 실제 해커들이 여러 정보를 가지고 공격을 시도한다고 했을 때 제일 먼저 하는 건, 모은 정보를 분류하고 이어붙이는 것이다. 그래야 인물이나 단체를 특정할 수 있게 되거나, 보다 활용성 높은 구멍을 발견할 수 있기 때문이다. 구슬이 서말이라도 꿰어야 보물이라는 말은 여기에서도 해당된다.

사용자들이 해야 할 일

이번에 비밀번호 재설정 요청 메일을 받은 사용자라면, 해당 메일에 나와 있는 링크는 누르지 않아야 한다. 비밀번호를 바꾸고 싶으면 링크를 따라 들어갈 게 아니라, 공식 인스타그램 앱에서 직접 해야 한다. 멀웨어바이츠는 “링크를 누르지 않은 사용자이더라도 이번 기회에 비밀번호를 바꾸고 2중인증을 활성화 하는 게 가장 안전하다”고 권장한다. 

이미 링크를 눌러버린 사용자라면 어떻게 해야 할까? “멀웨어바이츠가 마련한 무료 정보 침해 여부 확인 서비스를 이용해서 자신의 정보가 외부로 새나갔는지 확인하십시오. 디지털풋프린트(Digital Footprint)라는 이름의 서비스로 https://www.malwarebytes.com/digital-footprint를 통해 접속이 가능합니다. 들어가서 메일 주소를 입력만 하면 됩니다.”

그 다음 해야 할 일은 로그인 기록을 점검하는 것이다. “인스타그램 공식 앱에서 설정으로 들어갑니다. 거기서 보안 옵션으로 한 번 더 들어가고, 로그인 활동 기록을 열람하면 됩니다. 모르는 기기나 지역이 포함돼 있으면 전부 강제 로그아웃을 실시합니다. 그런 후 비밀번호를 변경하고 2중인증을 활성화 하는 것이 좋습니다.”

인스타그램은 메타(Meta)의 서비스이고, 메타는 페이스북과 왓츠앱이라는 소셜미디어 채널들도 보유하고 있다. 그렇다는 건 수많은 사용자들이 페이스북과 왓츠앱과 인스타그램에 같은 비밀번호를 쓰고 있을 확률이 높다는 것이다. 만약 여기에 해당되는 사용자라면 인스타그램만이 아니라 왓츠앱과 페이스북의 비밀번호도 이참에 변경하는 것이 안전하다고 멀웨어바이츠는 권한다.

한편 이메일을 받지 않은 사용자라면 평소처럼 인스타그램을 사용하면 된다. 다만 이런 사건이 자신에게도 일어날 수 있으니 비밀번호를 한 번 바꾸고 2중인증을 활성화하는 것이 안전을 위해서는 현명한 일이 될 수 있다.🆃🆃🅔

by 문가용 기자(anotherphase@thetechedge.ai)

Related Materials

• Instagram denies breach after users receive password reset emails - BBC News, 2024년
• Instagram's "17 Million User Data Leak" Was Just Scraped Records - Hackread, 2024년
• Meta admits to Instagram password reset mess, denies data leak - The Register, 2024년
• Received an Instagram password reset email? Here's what you need to know - Malwarebytes Labs, 2024년

158년 역사가 한 순간에 물거품...비밀번호가 진범

💡Editor’s Pick - 158년 된 영국 물류 회사, 랜섬웨어에 감염 - 감염 경로는 직원 한 명의 약한 비밀번호 - 결국 회사 문 닫고, 700명 직원 실업자 됨 158년이라는 유구한 전통을 자랑하는 운송 회사가 랜섬웨어 한 방에 무너졌다. 영국 노샘프턴셔에 본사를 두고 활동하고 있는 KNP라는 회사의 이야기다. 이 때문에 회사도 역사

The Tech Edge문가용 기자