[뉴스스페이스=김시민 기자] 사이버보안 역사상 유례없는 대규모 데이터 유출이 발생했다.
2025년 6월 20일(현지시간) The Pinnacle Gazette, Journee Mondiale, TimesTech Print Media 등의 해외미디어들의 보도에 따르면, 구글, 애플, 페이스북 등 글로벌 빅테크 플랫폼을 포함해 각종 정부·기업·개인 서비스에 걸쳐 160억개가 넘는 로그인 정보(아이디·비밀번호)가 한꺼번에 유출된 것이다.
전문가들은 “이제까지의 모든 유출 사고를 합친 것보다 심각하다”며, 즉각적인 비밀번호 변경과 다중 인증(MFA) 도입 등 ‘디지털 비상사태’ 수준의 대응을 촉구하고 있다.
사상 최대 규모, 90% 이상이 ‘신규·유효’ 정보
이번 유출은 단순히 과거 유출 데이터의 재탕이 아니다. 리투아니아 기반 보안연구팀 Cybernews가 포착한 30개의 초대형 데이터셋에는 각각 수천만~35억건씩, 총 160억건의 로그인 정보가 담겼다. 이 중 90% 이상이 과거에 보고된 적 없는 ‘신규’ 데이터로, 대부분 아직 유효한 계정 정보임이 확인됐다.
특히 이번 유출은 단순히 아이디·비밀번호만이 아니라, 인증 토큰, 쿠키, 로그인 URL 등 계정 탈취에 필요한 모든 정보가 ‘정확한 타깃 정보’와 함께 구조화되어 있다. 이는 사이버범죄자들에게 “해킹 GPS”를 제공하는 것과 다름없다는 평가다.
“이건 단순 유출이 아니다…대규모 악용의 설계도”
보안전문가들은 “이건 단순한 유출이 아니라, 대규모 악용을 위한 설계도(blueprint for mass exploitation)”라고 경고한다. 기존에는 해커들이 유출된 계정 정보를 무작위로 대입(credential stuffing)해보는 방식이었다면, 이번에는 각 계정이 어느 서비스에 연결되는지, 어떤 방식으로 접근 가능한지까지 정교하게 정리되어 있다.
이로 인해 단순 피싱·스팸을 넘어, 실제 계정 탈취, 신분 도용, 랜섬웨어, 기업 내부망 침투, 정부기관 해킹 등 모든 디지털 인프라가 광범위하게 위협받고 있다. 이미 구글, 애플, 페이스북 등은 “즉시 비밀번호를 변경하라”며 전 세계 사용자들에게 경고를 내렸다.
“디지털 신뢰 붕괴”…피해 규모, 파장 어디까지?
이번 유출은 단일 사건이 아니라, 2025년 상반기 수개월간 여러 인포스틸러(정보탈취 악성코드)에 감염된 약 1000만대의 기기에서 수집된 데이터가 한꺼번에 유출·통합된 것으로 분석된다.
이 때문에 피해 범위는 전 세계 거의 모든 인터넷 사용자, 기업, 정부기관에 미친다. 실제 유출 계정 수는 전 세계 인구의 두 배가 넘는 160억 건으로, 한 사람이 여러 계정을 사용한다는 점을 감안해도 “디지털 신뢰의 붕괴”라는 평가가 나온다.
금융권, 기업, 정부기관 등에서는 즉각적인 계정 보호, 보안 강화, 사기 방지에 수십억 달러의 비용이 소요될 것으로 전망된다. 장기적으로는 개인정보 유출, 신분 도용, 사회공학적 사기, 국가 인프라 공격 등 2차·3차 피해가 이어질 수 있다.
왜 이렇게 위험한가?
신규·유효 정보가 대다수라 기존 보안대책(비밀번호 변경, 2차 인증 등) 없이 방치하면 즉시 피해로 이어질 수 있다. 즉 정확한 타깃 URL·쿠키·토큰까지 포함돼, 자동화된 해킹·피싱·계정 탈취가 훨씬 정교해졌다.
중복·재사용 비밀번호를 쓰는 사용자는 다수의 계정이 동시 노출될 수 있다. 특히 기업·정부 계정도 대거 포함돼, 단순 개인 정보 유출을 넘어 국가·사회적 위기로 번질 수 있다.
전문가 “즉각 비밀번호 변경, MFA·패스키 도입 필수”…“디지털 비상사태” 신속한 대응
구글, FBI 등은 “모든 계정의 비밀번호를 즉시 변경하고, 다중 인증(MFA)이나 패스키(비밀번호 없는 인증)를 도입하라”고 권고했다.
특히 중복 비밀번호 사용자는 각 서비스별로 모두 다른 비밀번호를 설정해야 하며, 패스워드 관리 앱, OTP, 생체인증 등 추가 보안장치 도입이 필수적이다.
이번 160억건 비밀번호 유출 사태는 단순한 해킹 사고가 아니라, 전 세계 디지털 신뢰 체계 자체를 흔드는 ‘글로벌 비상사태’로 평가된다.
개인·기업·정부 모두가 즉각적인 비밀번호 변경, 다중 인증, 보안 교육 등 총력 대응에 나서야만 2차 피해를 최소화할 수 있다. 이제 “비밀번호만으로는 안전하지 않다”는 사실이 다시 한 번 명확해졌다.
