구글이 운영하는 이메일 서비스 ‘지메일’을 포함한 1억 8300만개의 이메일 계정 정보가 사용자의 기기에서 로그인 데이터를 탈취하는 악성코드 ‘인포스틸러’에 의해 대규모로 유출된 것으로 파악됐다.

지난 27일(현지시간) 보안 연구원 트로이 헌트는 이메일 주소와 암호 등 로그인 정보가 담긴 약 3.5테라바이트(TB) 규모의 데이터가 온라인에 공개됐다고 밝혔다.

그는 이 자료가 1년 동안 활동한 인포스틸러 네트워크에서 수집된 것으로 감염된 기기에서 사용자 이름과 접속 웹사이트 정보를 빼낸 기록과 유출된 계정을 자동으로 입력해 다른 사이트에 침입을 시도하는 ‘크리덴셜스터핑’ 목록으로 구성돼 있다고 설명했다.

헌트는 “이번 데이터 세트에는 1억 8300만개의 고유 계정이 포함돼 있다”며 “이 중 약 1640만개는 이전 데이터 유출에서도 확인되지 않았던 신규 유출 주소다”고 밝혔다.

그는 이 데이터를 유출 정보 알림 사이트 ‘해브아이빈폰드(HIBP)’에 추가해 사용자가 이메일 주소를 입력하면 자신의 계정이 포함됐는지 직접 확인할 수 있도록 했다.

보안업체 신시언트는 “이번 데이터가 해커들이 운영하는 다크웹과 텔레그램 채널에서 수집된 것으로 보인다”며 “대부분은 과거 유출된 데이터가 다시 퍼진 것이지만 일부 지메일 계정은 여전히 실제 로그인에 사용할 수 있는 상태다” 밝혔다.

이어 “이번 유출에는 지메일 외에도 마이크로소프트의 아웃룩, 야후 등 수백 개의 웹 서비스 로그인 정보고 포함된 것으로 분석됐다”고 덧붙였다.

구글은 “지메일 보안이 침해됐다는 보도는 사실이 아니며 이번 사건은 인포스틸러 활동을 잘못 해석한 것이다”고 밝혔다.

이와 함께 “사용자는 비밀번호를 재설정하고 2단계 인증을 활성화하며 패스키를 사용하는 등 보안 조치를 취해야 한다”고 권고했다.

한편 보안 전문가들은 비밀번호 재사용으로 인해 피해가 이메일에만 그치지 않고 클라우드 저장소, 금융, 소셜미디어 등 다양한 플랫폼으로 확산될 수 있다고 경고했다.

또한 브라우저 대신 암호화된 비밀번호 관리자를 이용하고 각 서비스마다 다른 비밀번호를 설정하며 정기적으로 비밀번호를 변경해야 한다고 조언했다.