인포스틸러가 18억 건을 훔치고, SK텔레콤 1,347억 원 과징금, 쿠팡 3,370만 계정 유출. 2026년 개인정보보호법 개정까지. 내 비밀번호 유출 확인과 대응 실전 가이드.
한국인 1인당 평균 온라인 계정은 168개다. 이 중 몇 개의 비밀번호가 이미 유출됐는지 확인해 본 적 있는가. Have I Been Pwned에 등록된 유출 계정은 175억 개다. 세계 인구의 2배가 넘는 숫자다.
비밀번호를 바꾸라는 말은 누구나 들어봤다. 문제는 "내 비밀번호가 정말 유출됐는지"를 확인하는 사람이 거의 없다는 것이다.
Forbes Advisor 조사에 따르면, 사용자의 78%가 여러 사이트에서 동일한 비밀번호를 사용한다. 13%는 모든 계정에 같은 비밀번호를 쓴다. 91%가 위험하다는 것을 알면서도 59%는 여전히 재사용한다.
NordPass가 2025년 발표한 가장 많이 사용되는 비밀번호 1위는 123456이다. 7년 중 6번 1위를 차지했다.
| 순위 | 비밀번호 | 크랙 시간 |
|---|---|---|
| 1 | 123456 | 1초 미만 |
| 2 | admin | 1초 미만 |
| 3 | 123456789 | 1초 미만 |
| 4 | password | 1초 미만 |
비밀번호 하나가 유출되면 같은 비밀번호를 쓰는 다른 계정이 전부 위험해진다. 이 공격을 크리덴셜 스터핑이라고 한다. 유출된 이메일/비밀번호 조합을 다른 사이트에 자동으로 대입하는 방식이다. Verizon 2025 DBIR에 따르면, 전체 인증 시도의 19%가 크리덴셜 스터핑이다.
비밀번호는 해킹으로만 유출되지 않는다. 인포스틸러라는 악성코드가 PC에서 직접 훔쳐간다.
인포스틸러는 크랙된 소프트웨어, 가짜 다운로드 페이지, 피싱 메일을 통해 퍼진다. 감염되면 브라우저에 저장된 비밀번호, 쿠키, 세션 토큰을 조용히 수집해 공격자 서버로 전송한다. 파일을 암호화하거나 화면에 경고를 띄우지 않는다. 감염된 사실 자체를 모르는 경우가 대부분이다.
Flashpoint에 따르면, 2025년 상반기에만 인포스틸러가 탈취한 크리덴셜은 18억 건이다. 전년 동기 대비 800% 증가했다. 감염 디바이스는 580만 대에 달한다.
2025년 5월, Microsoft와 Europol은 인포스틸러 Lumma Stealer의 도메인 2,300개를 압수했다. 하지만 Lumma는 수 주 만에 인프라를 재건했다. 2026년 1분기 기준 인포스틸러 시장 점유율 51%를 차지하며 여전히 1위다. 2026년 3월에는 또 다른 인포스틸러 RedLine의 관리자가 미국으로 인도돼 기소됐다. 법 집행 기관이 잡아도 새로운 도구가 계속 등장하는 구조다.
2025년, 인포스틸러가 18억 건을 훔쳤다
SK텔레콤 (2025년 4월). BPFDoor 악성코드가 서버 28대에 잠복하고 있었다. USIM 인증 키 2,696만 건이 비암호화 상태로 유출됐다. 한국 인구의 절반에 해당하는 규모다. 개인정보보호위원회는 역대 최대 과징금 약 1,347억 원을 부과했다. SK텔레콤은 2026년 1월 과징금 취소 소송을 제기했다.
쿠팡 (2025년 6~11월). 퇴직한 전 직원이 백업 인증 시스템 개발 당시 취득한 서명 키로 5개월간 접근했다. 3,370만 계정의 이름, 전화번호, 배송 주소, 주문 이력이 노출됐다. 한국 인구의 65%에 해당한다. 2026년 2월에는 미국 투자사들이 한국 정부를 상대로 ISDS 중재를 신청했다.
GS리테일 (2025년 1~2월). 다른 사이트에서 유출된 비밀번호로 GS25 앱과 GS샵에 로그인하는 크리덴셜 스터핑이 8개월간 계속됐다. 158만 건의 개인정보가 유출됐다.
이 사건들의 후폭풍은 2026년에도 계속되고 있다. 2026년 2월, 국회는 개인정보보호법을 개정해 고위험 침해 시 매출액의 최대 10%를 과징금으로 부과할 수 있도록 했다. 2026년 9월 시행 예정이다. IBM에 따르면, 유출된 자격증명으로 인한 침해는 탐지까지 평균 292일이 걸린다.
다크웹에서 유출된 크리덴셜은 놀라울 정도로 싸다.
| 유형 | 가격 |
|---|---|
| 이메일/비밀번호 대량 목록 | 수천 건당 수 센트 |
| Gmail 계정 | ~$60 |
| 기업 네트워크 접근권 | 평균 $2,700 |
2026년 1월에는 1억 4,940만 개의 로그인/비밀번호 조합이 한꺼번에 유출됐다. Facebook 1,700만 건, Netflix 340만 건이 포함됐다. Whiteintel의 2026년 3월 조사에 따르면, 인포스틸러에 감염된 순간부터 다크웹에 판매되기까지 걸리는 시간은 48시간 이내다.
Specops의 2026년 보고서는 60억 개 이상의 탈취 비밀번호를 분석했다. 이 중 Lumma Stealer가 약 60%를 차지했다.
1단계: 내 이메일이 유출됐는지 확인한다.
Have I Been Pwned에 접속해 이메일 주소를 입력하면 된다. 어떤 사이트에서, 언제, 어떤 데이터가 유출됐는지 즉시 확인할 수 있다. 현재 970개 유출 사이트, 175억 개 계정이 등록돼 있다.
2단계: 내 비밀번호가 유출됐는지 확인한다.
같은 사이트의 Passwords 페이지에서 비밀번호를 직접 검색할 수 있다. 비밀번호는 SHA-1 해시의 처음 5자만 서버로 전송되고 나머지는 브라우저에서 비교한다. 원본 비밀번호가 외부로 나가지 않는다.
3단계: 유출된 비밀번호를 교체한다.
유출이 확인되면 해당 사이트의 비밀번호를 즉시 변경한다. 같은 비밀번호를 사용하는 다른 사이트도 전부 변경해야 한다. Google Password Checkup이나 Mozilla Monitor도 같은 확인을 제공한다.
지금 확인하는 방법
비밀번호 관리자를 쓴다. 168개 계정의 비밀번호를 기억하는 것은 불가능하다. Bitwarden(무료, 오픈소스)이나 1Password(유료) 같은 관리자가 계정마다 고유한 비밀번호를 생성하고 저장한다. Security.org의 조사에 따르면, 비밀번호 관리자 사용자의 크리덴셜 도난율은 17%로 미사용자(32%)의 절반이다.
MFA를 켠다. 비밀번호가 유출돼도 2차 인증이 있으면 로그인이 차단된다. Google은 1억 5,000만 명에게 2단계 인증을 자동 적용한 뒤, 계정 침해가 50% 감소했다고 발표했다. SMS 인증보다 인증 앱(Google Authenticator, Microsoft Authenticator)이 안전하다.
15자 이상으로 만든다. NIST는 2025년 개정된 SP 800-63B에서 비밀번호 최소 길이를 15자로 권고했다. 동시에 90일마다 바꾸라는 규칙과 대문자+숫자+특수문자 조합 강제를 폐지했다. 이런 규칙이 오히려 Password1! → Password2! 같은 예측 가능한 패턴을 만들기 때문이다. 대신 "네 개의 무작위 단어"를 이어 붙이는 방식을 권장한다.
| 비밀번호 | RTX 4090 크랙 시간 |
|---|---|
| 8자리 복잡한 조합 (MD5) | 59분 |
| 8자리 복잡한 조합 (bcrypt) | 99년 |
| 15자리 무작위 조합 | 수천 년 이상 |
비밀번호 유출은 "만약"의 문제가 아니라 "언제"의 문제다. 175억 개의 유출 계정은 내 계정이 이미 포함됐을 가능성이 높다는 뜻이다. 지금 확인하고, 바꾸고, 관리자와 MFA를 설정하는 데 10분이면 충분하다.