사상 최대 규모 암호 모음이 유명 해커 포럼에 유출됐다.
미국 보안 연구 단체CyberNews (사이버뉴스)에 따르면 약 100GB 크기의 거대한 텍스트 파일이 인기있는 해커 포럼에 게시되었다고 한다.
여기에는 다양한 유출 및 데이터 유출로 얻은 84 억 개의 비밀번호가 포함되어있으며 해당 파일은 이전 데이터 유출 및 침해 사고에서 유출된 비밀번호를 모은 것으로 추정된다.
CyberNews에 따르면, 유출에 포함된 모든 비밀번호 길이는 6~20자로 ASCII가 아닌 문자와 공백은 제거됐다.
작성자는 해당 암호 모음집에 비밀번호 820억 개가 저장되어 있다고 주장했다. 그러나 CyberNews가 자체적으로 확인한 결과 실제로는 8,459,060,239건으로 작성자가 주장한 수치의 약 1/10 수준이다.
2009 년에는 RockYou라는 대규모 데이터 유출이있었다. 당시 공격자들은 소셜 애플리케이션 사이트의 서버를 손상시키고 일반 텍스트로 저장된 3,200 만 개 이상의 사용자 암호를 획득했다. 그리고 이 암호 모음집에 ‘RockYou2009’라는 이름을 붙였다 그래서 이번 새로운 암호 모음을 RockYou2021이라고 한다.
이전 가장 큰 데이터 유출은 32 억 이메일/암호 조합과 관련되었다. 정보는 넷플릭스, 링크드 인과 같은 회사에서 도난당한 기존 데이터를 기반으로 생성되었다. 이번 파일은 84 억 개 이상의 암호가 포함되어 있다.
문제는 84 억 개의 고유 한 비밀번호 선택과 사용자 이름 및 이메일 주소를 포함하는 다른 해킹 편집을 결합함으로써 공격자는 RockYou2021 컬렉션을 사용하여 수많은 온라인 계정에 대한 비밀번호 사전 및 비밀번호 공격을 만들 수 있다는 점이다.
비밀번호가 유출되었는지 여부는 추후 CyberNews에서 제공한 개인 데이터 유출 확인 또는 비밀번호 유출 확인 페이지에서 확인이 가능하다고 한다.
해당 사이트에서는 현재 RockYou2021 데이터를 업로드하는 작업을 진행 중이라 밝혔다.
만약 공격자가 RockYou2021 모음집에 포함된 84억 건의 고유한 비밀번호를 사용자 이름 및 이메일 주소가 포함된 다른 유출 데이터와 결합할 경우 비밀번호 사전 대입 공격(password dictionary) 또는 비밀번호 스프레이(password spray) 공격을 실행할 수 있게 된다.이는 대부분의 사람들이 여러 애플리케이션과 웹사이트에서 비밀번호를 재사용하기 때문에, 이 유출 사고의 영향을 받은 계정은 수십억은 아니더라도 수백만에 이를 수 있다.
사이버뉴스는 RockYou2021을 통해 자신의 비밀번호가 유출된 것으로 의심되는 경우, 데이터를 보호하기 위해 다음 단계 수행을 권고했다.
먼저 ▲ 개인 데이터 유출 확인 및 비밀번호 유출 확인 페이지에서 자신의 데이터가 유출되었는지 여부를 먼저 확인하기▲ 데이터가 유출된 것으로 확인될 경우, 해당 온라인 계정의 비밀번호 변경하기 ▲ 모든 온라인 계정의 2단계 인증(2FA) 활성화하기 ▲ 스팸 이메일, 요청하지 않은 문자, 피싱 메시지 주의하기 ▲ 모르는 사용자가 보낸 이메일 및 문자 등 의심스러운 링크를 클릭하지 않기 등이다.
