세계를 뒤흔든 해킹 사례 10선

해킹은 더 이상 영화 속 이야기가 아닙니다. 지난 십수 년간 발생한 대형 사이버 공격은 수십억 개의 계정을 노출시키고, 병원과 송유관을 멈춰 세웠으며, 한 국가의 핵 시설까지 파괴했습니다. 아래는 규모와 파급력 면에서 전 세계적으로 가장 큰 충격을 준 대표적인 해킹 사건 10가지입니다. 각 사건이 남긴 교훈은 오늘 우리가 비밀번호와 계정을 어떻게 지켜야 하는지 분명하게 보여줍니다.

1. 야후(Yahoo) 데이터 유출 — 2013~2014

역사상 최대 규모의 개인정보 유출 사건입니다. 약 30억 개의 전체 야후 계정이 영향을 받았으며, 이메일 주소, 비밀번호, 생년월일은 물론 계정 복구에 쓰이는 보안 질문과 답변까지 노출되었습니다. 피해 사실은 2016~2017년에야 전모가 공개되었고, 당시 진행 중이던 야후 인수 가격까지 깎이게 만들 정도로 파장이 컸습니다.

2. RockYou 평문 비밀번호 유출 — 2009

소셜 앱 업체 RockYou는 사용자 비밀번호를 암호화 없이 평문(plain text)으로 저장했다가 SQL 인젝션 공격으로 약 3,200만 개를 통째로 도난당했습니다. 이때 유출된 비밀번호 목록인 ‘rockyou.txt’는 오늘날까지도 해커들이 비밀번호를 추측할 때 가장 먼저 대입하는 표준 사전(wordlist)으로 악용되고 있습니다.

3. 이퀴팩스(Equifax) 신용정보 유출 — 2017

미국 3대 신용평가사 이퀴팩스에서 약 1억 4,700만 명의 개인정보가 유출되었습니다. 이름, 생년월일, 주소뿐 아니라 미국에서 가장 민감한 정보인 사회보장번호(SSN)와 운전면허번호까지 포함됐습니다. 원인은 이미 패치가 나와 있던 Apache Struts 웹 프레임워크 취약점을 제때 적용하지 않은 것이었습니다 — ‘업데이트 지연’의 대가를 보여주는 대표 사례입니다.

4. 소니 픽처스(Sony Pictures) 해킹 — 2014

‘평화의 수호자(Guardians of Peace)’를 자처한 공격자들이 소니 픽처스 내부망을 장악해 미공개 영화, 임직원 급여·주민정보, 경영진의 사적인 이메일까지 대량으로 유출했습니다. 미국 FBI는 이 공격의 배후로 북한을 지목했으며, 김정은 암살을 소재로 한 영화 ‘디 인터뷰’가 도화선이 된 것으로 알려졌습니다. 기업 해킹이 정치·외교 문제로까지 번진 사건입니다.

5. 워너크라이(WannaCry) 랜섬웨어 — 2017

단 며칠 만에 150여 개국 약 23만 대의 컴퓨터를 감염시킨 사상 최악의 랜섬웨어 중 하나입니다. 미국 NSA에서 유출된 것으로 알려진 ‘이터널블루(EternalBlue)’ 익스플로잇을 이용해 윈도우의 SMB 취약점으로 빠르게 확산됐고, 영국 국가보건서비스(NHS)의 병원 시스템을 마비시켜 수술과 진료가 중단되는 사태까지 벌어졌습니다.

6. 타깃(Target) POS 해킹 — 2013

미국 대형 유통업체 타깃에서 연말 쇼핑 시즌에 약 4,000만 건의 신용·체크카드 정보와 7,000만 명의 개인정보가 유출됐습니다. 공격자들은 타깃을 직접 뚫은 것이 아니라, 냉난방(HVAC) 협력업체의 계정을 탈취해 내부망에 침투한 뒤 매장 결제 단말기(POS)에 악성코드를 심었습니다. 협력사를 경유한 공급망 공격의 위험을 일깨운 사건입니다.

7. 스턱스넷(Stuxnet) — 2010

단순한 정보 유출이 아니라 물리적 시설을 파괴한 최초의 국가급 사이버 무기로 평가받습니다. 스턱스넷 웜은 이란 나탄즈 핵시설의 우라늄 농축 원심분리기를 제어하는 산업 제어 시스템(PLC)을 조작해 장비를 고장 내면서도, 계기판에는 정상으로 표시되게 만들었습니다. 사이버 공격이 현실 세계의 인프라를 무너뜨릴 수 있음을 처음으로 증명했습니다.

8. 콜로니얼 파이프라인(Colonial Pipeline) 랜섬웨어 — 2021

미국 동부 연료 공급의 절반가량을 담당하는 최대 송유관이 다크사이드 (DarkSide) 랜섬웨어 공격으로 가동을 멈췄습니다. 그 결과 주유 대란과 유가 급등이 벌어졌고, 회사는 약 440만 달러(비트코인)의 몸값을 지불했습니다(일부는 후에 美 당국이 회수). 단 하나의 유출된 VPN 계정 비밀번호가 시작점이었다는 점에서, 비밀번호 관리의 중요성을 상징하는 사건입니다.

9. 솔라윈즈(SolarWinds) 공급망 공격 — 2020

IT 관리 소프트웨어 업체 솔라윈즈의 제품 ‘오리온(Orion)’ 정식 업데이트 파일에 ‘선버스트(Sunburst)’라는 백도어가 몰래 심어졌습니다. 이를 통해 미국 정부 기관과 다수의 글로벌 기업 등 약 1만 8천 곳이 침해 위험에 노출됐습니다. 신뢰하는 공급사의 정상 업데이트조차 공격 통로가 될 수 있다는 사실에 보안 업계 전체가 충격을 받았습니다.

10. 마운트곡스(Mt. Gox) 비트코인 도난 — 2014

한때 전 세계 비트코인 거래의 약 70%를 처리하던 일본의 거래소 마운트곡스가 약 85만 비트코인을 도난당하고 파산했습니다. 당시 가치로 수억 달러, 현재 가치로는 천문학적인 규모입니다. 암호화폐 거래소의 보안이 얼마나 취약할 수 있는지, 그리고 자산을 한 곳에 맡기는 것이 얼마나 위험한지 를 일깨운 사건입니다.

이 사건들이 우리에게 남긴 교훈

규모와 수법은 제각각이지만 공통점은 분명합니다. 거대한 공격의 시작점은 의외로 유출된 비밀번호 하나, 적용하지 않은 보안 업데이트 하나인 경우가 많습니다. 개인이 할 수 있는 가장 확실한 방어는, 계정마다 다른 추측 불가능한 비밀번호를 쓰고 2단계 인증을 켜는 것입니다. 초강력 비밀번호 생성기로 강력한 비밀번호를 만들고, 보안 솔루션 페이지에서 자동화 공격을 막는 방법도 함께 확인해 보세요.