1000건의 유출을 겪고 내린 결론: "털린 걸 알려주는 속도"는 오히려 더 느려졌다

'털린 비밀번호 조회 사이트' 운영자의 회고

혹시 본인 이메일이 어디서 유출됐는지 확인해 주는 'Have I Been Pwned(HIBP)'라는 사이트, 들어보셨나요? 보안 연구자 트로이 헌트가 운영하는 곳인데, 전 세계에서 터진 데이터 유출 사고의 정보를 모아서 "당신 계정이 이 유출에 포함됐어요"라고 알려주는 무료 서비스예요. 이 사이트에 등록된 유출 사고가 1000건을 넘었다고 합니다.

그 1000건을 다 다뤄본 운영자가 내린 결론이 좀 씁쓸한데요, 바로 "유출이 일어나고 나서 피해자에게 알려지기까지의 시간차(disclosure lag)가 줄기는커녕 더 나빠지고 있다"는 거예요. 기술은 발전했고 GDPR 같은 법까지 생겼는데도 말이죠.

'유출 시점'과 '알려지는 시점'은 완전히 달라요

여기서 먼저 짚어야 할 게 있어요. 데이터 유출에는 사실 여러 개의 시점이 있어요. 첫째는 실제로 털린 시점, 둘째는 회사가 그걸 알아챈 시점, 셋째는 외부에 공개되고 피해자가 통보받는 시점이에요. 이 셋 사이의 간격이 문제인 거죠.

많은 경우 회사는 자기가 털린 줄도 한참 모르고 있어요. 공격자가 조용히 들어와서 데이터만 빼간 뒤 흔적을 지우면, 몇 달, 심하면 몇 년이 지나도록 아무도 몰라요. 그러다 어느 날 해킹 포럼이나 텔레그램 채널에 '○○회사 회원 정보 팝니다' 하는 글이 올라오면서 비로소 세상에 알려지는 식이죠. 트로이 헌트가 받는 데이터 상당수도 이렇게 '범죄자들 사이에서 거래되다가' 흘러나온 것들이에요.

왜 점점 더 느려질까요

법이 생겼으면 빨라져야 하는 거 아니냐고요? GDPR은 유럽에서 개인정보 유출을 인지하면 72시간 안에 감독 기관에 신고하라고 정해두긴 했어요. 그런데 현실은 좀 다릅니다.

첫째, 회사 입장에서 유출 공개는 곧 평판 하락과 소송 위험이에요. 그래서 "확실해질 때까지" 미루거나, 변호사와 PR팀을 거치며 최대한 두루뭉술하게, 최대한 늦게 발표하려는 유인이 강해요. "한정된 일부 정보가 영향을 받았을 가능성이 있습니다" 같은 모호한 문장 보신 적 있죠? 그게 다 이런 맥락이에요.

둘째, 공격 자체가 더 은밀해졌어요. 예전엔 사이트를 망가뜨리는 식의 눈에 띄는 공격이 많았다면, 요즘은 데이터만 조용히 빼가는 게 목적이라 더 안 들켜요. '72시간'은 인지한 시점부터인데, 인지 자체가 늦으니 의미가 반감되는 거죠.

셋째, 빠져나간 자격증명(아이디·비밀번호)은 크리덴셜 스터핑 공격에 재활용돼요. 이게 뭐냐면, 한 곳에서 털린 이메일·비밀번호 조합을 다른 사이트들에 자동으로 마구 입력해 보는 공격이에요. 사람들이 같은 비밀번호를 여기저기 돌려쓰니까, 한 번 유출되면 피해가 줄줄이 번지는 거죠. 그래서 공개가 늦어질수록 피해는 기하급수적으로 커집니다.

한국 개발자에게 주는 시사점

우리도 남 일이 아니에요. 국내에선 개인정보보호법상 유출 사실을 인지하면 정해진 기한 안에 정보주체에게 통지하고 신고하도록 돼 있는데, 실제로 며칠씩 늦게 공지가 뜨는 사례를 많이 봤잖아요. 개발자로서 우리가 당장 할 수 있는 건 이런 거예요.

첫째, 로그와 모니터링을 제대로 갖추기. 유출을 빨리 알아채는 능력이 없으면 72시간이고 뭐고 시작점 자체가 안 잡혀요. 둘째, 비밀번호는 절대 평문이나 약한 해시로 저장하지 말기. bcrypt, argon2 같은 느린 해시를 쓰고 솔트를 붙이는 건 기본 중의 기본이에요. 셋째, 사용자에게 2단계 인증(2FA)을 적극 권장하기. 비밀번호가 털려도 추가 인증이 있으면 크리덴셜 스터핑을 상당 부분 막을 수 있거든요. 그리고 개인적으로는 비밀번호 관리자를 써서 사이트마다 다른 비밀번호를 쓰는 습관, 이게 진짜 중요해요.

마무리

핵심은 "유출은 막는 것만큼이나, 빨리 인지하고 빨리 알리는 게 중요하다"는 거예요. 그런데 현실의 인센티브 구조는 오히려 '늦게, 모호하게'를 부추기고 있고요. 여러분 회사는 데이터 유출이 발생했을 때 며칠 안에 사용자에게 솔직하게 알릴 준비가 되어 있나요? 그 시나리오를 한 번이라도 리허설해 본 적 있으신가요?