20억 개 이메일 주소 유출, Have I Been Pwned에 모두 색인됨

• 총 19억 5,747만 개의 고유 이메일 주소와 13억 개의 비밀번호가 포함된 대규모 데이터 세트가 공개되어, Have I Been Pwned(HIBP)에 새로 추가됨
• 이 중 6억 2,500만 개 비밀번호는 이전에 한 번도 발견되지 않은 것으로, HIBP가 처리한 데이터 중 가장 방대한 규모
• 데이터는 Synthient의 위협 인텔리전스 플랫폼에서 수집된 자격 증명 채우기(credential stuffing) 자료로, 여러 침해 사고에서 유출된 이메일·비밀번호 조합이 포함됨
• HIBP는 데이터의 진위를 검증하기 위해 구독자들에게 직접 확인을 요청했으며, 일부는 여전히 실제 사용 중인 비밀번호가 포함되어 있었음
• 이번 색인은 Gmail 유출이 아닌 악성코드 감염 피해자의 자격 증명 수집 결과이며, 사용자들은 HIBP나 Pwned Passwords를 통해 노출 여부를 확인 가능

데이터 개요

• 데이터 세트에는 19억 5,747만 6,021개의 고유 이메일 주소와 13억 개의 비밀번호가 포함됨
  • 그중 6억 2,500만 개 비밀번호는 HIBP에서 처음 발견된 항목
  • HIBP가 지금까지 처리한 데이터 중 가장 큰 규모로, 이전 최대 유출보다 약 3배 큼
• 데이터는 Synthient가 수집한 위협 인텔리전스 자료의 일부로, 자격 증명 채우기 목록을 포함
  • 자격 증명 채우기 데이터는 여러 침해 사고에서 유출된 이메일·비밀번호 조합이 재활용되어 생성됨
  • 동일한 비밀번호를 여러 사이트에서 사용하는 관행으로 인해, 한 번의 유출이 다른 서비스 계정 침해로 이어질 수 있음

데이터 검증 과정

• 검증은 작성자의 개인 이메일 주소로 시작되었으며, 일부 오래된 비밀번호가 실제로 일치함
  • 다른 비밀번호들은 익숙하지 않았고, 일부는 IP 주소 형태 등 비정상적인 값이 포함됨
• HIBP 구독자들에게도 검증을 요청하여 여러 사례를 수집함
  • 한 사용자는 오래된 비밀번호와 최근 비밀번호가 모두 포함되어 있었으며, 즉시 변경 조치를 취함
  • 또 다른 사용자는 10~20년 전 사용한 비밀번호가 포함되어 있었음
  • 일부 응답자는 여전히 활성 계정에서 사용 중인 비밀번호가 노출되어 있었음
• 검증 결과, 데이터에는 오래된 정보와 실제 사용 중인 비밀번호가 혼재되어 있음
  • 일부 항목은 자동 생성된 비밀번호이거나 오래되어 기억나지 않는 경우도 있었음

Pwned Passwords 검색 기능

• HIBP의 Pwned Passwords 서비스는 이메일 주소와 비밀번호를 분리하여 저장함
  • 이는 보안 및 개인정보 보호를 위한 조치로, 이메일-비밀번호 쌍이 노출될 위험을 방지함
• 사용자는 다음 방법으로 비밀번호 노출 여부를 확인 가능
  1. Pwned Passwords 검색 페이지 이용
  2. k-anonymity API를 통한 코드 기반 검색
  3. 1Password Watchtower 기능을 통한 자동 점검
• 모든 4자리 PIN 조합이 이미 유출된 상태이며, HIBP 데이터 기반의 PIN 사용 패턴 시각화 자료도 존재함

Gmail 유출 아님

• 이번 사건은 Gmail 보안 취약점과 무관하며, 악성코드 감염으로 수집된 피해자 자격 증명 데이터임
• 전체 데이터에는 3,200만 개의 이메일 도메인이 포함되어 있으며, 그중 gmail.com은 3억 9,400만 개
  • Gmail 주소는 전체의 약 20%에 불과하며, 나머지 80%는 다른 도메인 소속
  • Google의 보안 결함과는 관련 없음

기술적 처리 과정

• 이번 데이터는 이전 최대 유출보다 약 3배 큰 규모로, 처리 과정이 매우 복잡함
  • HIBP는 Azure SQL Hyperscale(80코어) 환경에서 약 2주간 데이터 처리 수행
  • 이메일 주소의 SHA1 해시 생성 과정에서 대량 업데이트가 실패하여, 1백만 건 단위 배치 처리로 전환
• 5.9백만 명의 구독자 중 2.9백만 명이 이번 데이터에 포함되어 있음
  • 대량 이메일 발송 시 스팸 필터링 및 서버 제한을 피하기 위해 점진적 발송 전략을 채택
  • 시간당 1.015배씩 증가하는 속도로 발송량을 조절, 하루 약 45%씩 증가
  • DKIM, DMARC, SPF 설정 및 전용 IP 사용으로 신뢰도 유지
• Pwned Passwords API 응답 크기는 평균 26KB에서 40KB로 증가
  • 이는 해시 범위 크기가 약 50% 커졌기 때문이며, brotli 압축을 통해 효율 유지

결론 및 권장 조치

• 이번 데이터는 HIBP에서 “Synthient Credential Stuffing Threat Data” 로 검색 가능
  • 이전 Synthient 데이터와는 별개의 데이터 세트이며, 일부 중복 존재
• HIBP는 데이터의 무결성을 검증하고, 개인정보 보호 중심의 검색 기능을 제공
• 사용자에게 권장되는 보안 조치
  • 비밀번호 관리자 사용
  • 강력하고 고유한 비밀번호 생성
  • 패스키(passkey) 사용 및 다중 인증(MFA) 활성화
• HIBP는 이번 작업이 매우 시간·비용이 많이 든 프로젝트였음을 언급하며,
  사용자들이 데이터 접근 요청 대신 보안 습관 개선에 집중할 것을 당부함