160억 개 비밀번호 유출: 내 계정이 포함됐는지 확인하는 방법

2026년 1월, 보안 연구원들이 약 160억 개의 사용자명-비밀번호 조합이 담긴 30개의 보안되지 않은 데이터베이스를 발견했습니다. 역대 최대 규모의 자격증명 유출입니다. 유출된 데이터에는 구글, 애플, 페이스북, 깃허브, 텔레그램, 심지어 정부 플랫폼의 로그인 정보도 포함되어 있습니다.

인터넷을 사용하신다면, 귀하의 자격증명이 이 유출에 포함되었을 가능성이 높습니다.

무엇이 유출되었나

유출된 내용:

• 30개 데이터셋에 걸쳐 160억 개 로그인 자격증명
• 일부 데이터셋은 각각 35억 개 이상의 레코드 포함
• 거의 모든 주요 온라인 서비스의 자격증명
• 과거 유출 데이터와 최신 인포스틸러 로그 모두 포함
• 많은 경우 세션 토큰, 쿠키, 메타데이터도 포함

이것은 단순히 과거 유출의 재활용이 아닙니다. 연구원들은 악용 가능한 형태로 새롭게 편집된 구조화된 데이터를 발견했으며, 여기에는 활성 세션 토큰이 포함된 최근 인포스틸러 악성코드 로그도 있습니다.

내 정보가 유출됐는지 확인하는 방법

1단계: Have I Been Pwned 확인

haveibeenpwned.com에 방문하여 이메일 주소를 입력하세요. 이 데이터베이스는 유출 데이터로 정기적으로 업데이트되며, 어떤 유출에 귀하의 자격증명이 포함되어 있는지 알려줍니다.

2단계: 비밀번호 관리자의 유출 모니터 사용

대부분의 비밀번호 관리자가 유출 모니터링을 제공합니다:

• 1Password: Watchtower가 유출된 계정 알림
• Bitwarden: 데이터 유출 보고서로 노출된 자격증명 확인
• Dashlane: 다크웹 모니터링으로 정보 스캔
• 구글 비밀번호 관리자: passwords.google.com에서 비밀번호 확인

3단계: 네이버/카카오 계정 보안 확인

국내 서비스의 경우:

1. 네이버: 내정보 → 보안설정 → 로그인 기록 확인
2. 카카오: 카카오계정 → 보안 → 로그인 기록
3. 의심스러운 접속이 있다면 즉시 비밀번호 변경

4단계: 금융 계정 모니터링

알려진 유출에 이메일이 나타나지 않더라도, 은행 및 신용카드 명세서에서 무단 활동을 모니터링하세요. 공격자들은 종종 금융 서비스에서 먼저 자격증명을 테스트합니다.

유출이 확인되면 해야 할 일

즉시 조치

1. 유출된 비밀번호 즉시 변경

가장 중요한 계정부터 시작하세요:

• 이메일 계정 (비밀번호 재설정에 사용됨)
• 은행 및 금융 서비스
• 클라우드 저장소 (구글 드라이브, 아이클라우드, 네이버 클라우드)
• 소셜 미디어 계정

2. 모든 곳에서 2단계 인증 활성화

공격자가 비밀번호를 가지고 있어도 2FA가 무단 접근을 차단합니다:

• SMS보다 인증 앱(Google Authenticator, 네이버 OTP) 사용
• 중요한 계정에는 하드웨어 키(YubiKey) 고려
• 이메일에 먼저 2FA 활성화 — 다른 모든 것의 마스터 키입니다

3. 무단 접근 확인

계정의 최근 활동 검토:

• 구글: myactivity.google.com
• 네이버: 내정보 → 보안설정 → 로그인 기록
• 카카오: 카카오계정 → 보안 → 로그인 기록

4. 의심스러운 세션 해제

인식하지 못하는 모든 기기와 세션에서 로그아웃하세요. 대부분의 서비스에 "모든 기기에서 로그아웃" 옵션이 있습니다.

장기적 보호

모든 계정에 고유한 비밀번호 사용

자격증명 유출이 위험한 이유는 비밀번호 재사용입니다. 여러 사이트에서 같은 비밀번호를 사용하면, 한 번의 유출로 모든 계정이 위험해집니다.

비밀번호 관리자를 사용하여 모든 계정에 고유하고 강력한 비밀번호를 생성하고 저장하세요.

패스키로 전환 고려

패스키는 피싱에 강하고 데이터 유출로 유출될 수 없습니다:

• 구글, 애플, 마이크로소프트가 이제 패스키 지원
• 비밀번호 대신 생체 인증(지문, 얼굴) 사용
• 비밀번호가 없으면 훔칠 것도 없음

유출 알림 설정

• Have I Been Pwned 알림 활성화
• 비밀번호 관리자의 유출 모니터링 켜기
• 구글 다크웹 모니터링 설정

앞으로 자격증명을 안전하게 공유하는 방법

자격증명이 유출되는 이유 중 하나는 안전하지 않은 공유 관행입니다. 사람들이 비밀번호를 붙여넣는 곳:

• 카카오톡이나 슬랙 메시지 (서버에 저장됨)
• 이메일 (종종 암호화되지 않고, 검색 가능)
• 문자 메시지 (클라우드에 백업됨)
• 공유 문서 (지속적 접근 가능)

안전하고 만료되는 채널 사용

누군가와 비밀번호를 공유해야 할 때:

1. 일반 메시지로 비밀번호를 평문으로 보내지 마세요
2. 양쪽 모두 같은 관리자를 사용한다면 비밀번호 관리자의 공유 기능 사용
3. 일회성 공유에는 자동 삭제되는 보안 메모 사용

LOCK.PUB 같은 서비스를 사용하면 비밀번호로 보호된 메모를 만들 수 있습니다:

• 한 번 읽으면 자동 삭제
• 설정된 시간(1시간, 24시간) 후 만료
• 조회 후 다시 접근 불가

예시 워크플로우:

• 비밀번호가 담긴 보안 메모 생성
• 1시간 후 만료되도록 설정
• 한 채널로 링크 전송
• 다른 채널로 접근 비밀번호 전송
• 조회 후 자격증명을 다시 가져올 수 없음

더 큰 그림

이 160억 자격증명 유출은 더 큰 문제의 증상입니다: 비밀번호는 근본적으로 취약합니다.

주요 통계:

• 94%의 비밀번호가 계정 간에 재사용됨
• 3%의 비밀번호만 NIST 복잡성 요구사항 충족
• 자격증명 기반 공격이 전체 유출의 거의 절반 차지

업계는 패스키와 비밀번호 없는 인증으로 이동하고 있습니다. 그동안:

• 모든 곳에서 고유한 비밀번호 사용
• 모든 계정에 2FA 활성화
• 정기적으로 유출 모니터링
• 안전하고 만료되는 채널로만 자격증명 공유

지금 바로 확인하세요

무단 청구나 잠긴 계정을 발견할 때까지 기다리지 마세요. 오늘 10분을 투자해서:

1. haveibeenpwned.com에서 이메일 주소 확인
2. 비밀번호 관리자의 유출 보고서 실행
3. 가장 중요한 10개 계정에 2FA 활성화
4. 유출에 나타난 비밀번호 변경

유출은 이미 일어났습니다. 중요한 것은 얼마나 빨리 대응하느냐입니다.

자동 삭제되는 보안 메모로 자격증명 안전하게 공유하기 →