MFA를 설정했는데도 계정이 유출되는 이유

디지털 전환을 이루는 중견 제조·기술 기업들은 보안을 강화하기 위해 다중 인증(MFA)을 도입하는 추세입니다. 그러나 MFA만 설정했다고 안심할 수는 없습니다. 최근 사례를 보면 MFA를 적용한 계정조차 피싱이나 크리덴셜 스터핑 등에 의해 탈취되어 다크웹에 판매되는 일이 발생하고 있습니다. 실제로 공격자들은 MFA를 우회하는 다양한 기법까지 발전시켜, 계정 탈취를 여전히 활발히 시도하고 있습니다. 이는 곧 “설정만 해두면 안전하다”는 안일함이 위험할 수 있음을 보여줍니다.

하나의 사례를 보겠습니다. 이 기업은 자체 편의점 웹사이트 해킹에 이어, 온라인쇼핑 웹사이트에서도 고객 158만 건의 개인정보 유출 사고를 겪었습니다. 공격자는 다른 사이트에서 유출된 아이디와 비밀번호를 악용해 대량 로그인 시도를 했고, 그 결과 이름, 이메일 등 고객 정보가 대거 유출되었습니다. 불과 한 달 전에도 9만 명분의 정보가 유출된 터라 충격이 컸습니다. 이처럼 다크웹에 떠도는 유출 계정 정보는 재활용되어 2차 공격으로 이어질 수 있습니다. 공격자들은 한 번 얻은 계정 정보를 가지고 기업 시스템에 무차별 시도하거나, MFA 사용자를 대상으로 피싱을 통해 인증 코드를 가로채는 등 수단을 가리지 않습니다. 결국 중요한 것은 “우리 계정 정보가 이미 다크웹에 올라와 있는가“이지, 보안 설정만으로는 모든 위험을 막지 못한다는 점입니다.

다크웹에 유통되는 기업 계정: 얼마나 심각한가?

오늘날 다크웹은 해커들의 거대한 암시장으로 기능합니다. Tor 브라우저 등으로 접속하는 다크웹은 IP 추적이 어렵고 폐쇄적이어서, 탈취된 정보가 은밀히 거래됩니다. 한국인 개인정보 약 4억6700만 건이 현재 다크웹에 유통되고 있다는 조사도 있습니다. 1인당 평균 9건 이상의 정보가 유출되었다는 의미인데, 여기에는 아이디와 패스워드 같은 계정 정보도 상당수 포함됩니다. 실제 국내 100대 기업 대상 모의 조사에서 99개 기업에서 정보 유출 흔적이 발견됐고, 유출된 계정 정보만 105만 건이 넘는 것으로 나타났습니다. 이는 일본 상위 100대 기업의 2배가 넘는 충격적인 수치로, 국내 기업들의 계정 유출 문제가 얼마나 심각한지 보여줍니다.

기업 계정이 다크웹에 유출되면 그 2차 피해는 다양합니다. 해커들은 유출된 계정 정보를 이용해 해당 기업의 내부 시스템이나 클라우드 서비스에 접근하려고 시도합니다. 예를 들어 유출된 계정과 비밀번호를 무작위로 대입해 보는 크리덴셜 스터핑 공격이 잇따르는데, 실제로 여러 온라인 쇼핑몰, 포인트 서비스, 교육 플랫폼, 공공기관 등 다양한 기관들이 이러한 방식으로 계정 탈취 시도를 겪었습니다. 유출된 계정이 이메일 계정일 경우, 이를 기반으로 임직원이나 고객을 사칭한 스피어 피싱이나 보이스피싱 공격으로도 이어질 수 있습니다. 또한 랜섬웨어 공격자들은 다크웹에 올라온 VPN/RDP 접속 계정을 몇 달러 안 되는 돈에 구매해 기업 네트워크에 침투하기도 합니다. 실제로 기업 원격데스크톱(RDP) 접근 권한이 다크웹에서 단 3달러에 판매된 사례도 보고되었을 정도입니다. 이처럼 다크웹에 유출된 계정은 사이버 범죄자들의 손에 넘어가 언제든 우리 기업을 노리는 무기로 바뀔 수 있습니다.

독자의 공감을 돕기 위해 최근의 국내 사례를 한 가지 더 들겠습니다. 한 기업의 임직원 계정 정보가 유출되어 다크웹 포럼에 올라왔는데, 공격자들이 이를 이용해 해당 기업의 내부 시스템에 추가 접근을 시도했습니다. 다행히 큰 피해로 이어지진 않았지만, 조사 결과 직원이 회사 이메일로 가입한 외부 사이트의 해킹으로 계정 정보가 유출된 것이 원인이었습니다. 이 직원은 MFA를 설정해 두었지만, 공격자들이 교묘한 피싱으로 2차 인증 코드마저 탈취해 계정을 장악하려 한 정황이 포착되었습니다. “설마 우리 계정이 다크웹에 떠돌고 있을 줄은 몰랐다”는 것이 해당 기업 보안 담당자의 말이었습니다. 결국 이런 일이 발생하고 나서야 부랴부랴 비밀번호 전원 교체, 추가 MFA 정책 적용 등의 대응에 나섰지만, 이미 늦을 뻔한 상황이었습니다.

기업에 다크웹은 보이지 않는 사각지대

대부분의 기업은 다크웹에서 무슨 일이 벌어지는지 알기 어렵습니다. 다크웹은 검색 엔진에 걸리지 않고 익명성이 보장되는 특성상, 일반 보안팀이 일일이 찾아다니기엔 한계가 있습니다. 실제 침해사고가 발생하고 나서 이를 인지하기까지 평균 194일, 완전히 대응해 해결하기까지 평균 292일이 걸린다는 조사도 있습니다. 그동안 유출된 계정은 다크웹에서 빠르게 공유·판매되어 공격자들 손을 거치게 되고, 해커들은 그 긴 시간을 이용해 추가 공격을 준비할 수 있습니다. 더 큰 문제는, 설사 기업이 이런 유출 정황을 알아챘다 하더라도 범죄자를 잡기가 거의 불가능에 가깝다는 점입니다(다크웹 범죄자의 검거 확률은 0.05% 수준이라고 알려져 있습니다). 결국 우리 계정을 지킬 수 있는 가장 현실적인 방법은 우리 스스로 다크웹을 감시하는 것입니다. 하지만 중견기업 입장에서는 자체 인력과 도구만으로 방대한 다크웹을 24시간 모니터링하기 어렵고, 전문 인텔리전스가 부족해 어떤 대응을 해야 할지 판단하기도 쉽지 않습니다. 이렇게 다크웹 가시성이 부족한 현실 때문에 많은 기업들이 위험을 사전에 포착하지 못하고 사고 후 대응으로 끌려가는 실정입니다.

‘제로다크웹’으로 다크웹 계정 유출 실태 바로 파악하기

이러한 배경에서, 전문 다크웹 모니터링 서비스 「제로다크웹」이 등장했습니다. 제로다크웹은 국내외 다크웹 전 영역을 실시간 모니터링하여 우리 기업과 관련된 정보 노출을 탐지하고 알려주는 다크웹 정보유출 모니터링 서비스입니다. 만약 우리 회사의 이메일 계정이나 도메인, 또는 문서 파일 등이 다크웹에 등장하면 곧바로 보안 담당자에게 경고를 제공해 2차 피해를 예방할 수 있게 해줍니다. 특히 “우리 조직 계정이 실제로 다크웹에 유출되었는지”를 확인하는 데 초점을 맞추고 있어, 단순히 MFA 설정 여부가 아니라 정말 유출이 일어났는지 여부를 알려준다는 점이 핵심입니다.

제로다크웹이 제공하는 주요 기능 세 가지는 다음과 같습니다.

1. 계정 유출 탐지 – 기업 도메인 기반 유출 계정 식별

제로다크웹의 첫 번째 핵심 기능은 기업 계정 유출 탐지입니다. 이는 우리 회사 도메인(@회사명.com 등)에 속한 이메일 계정이 어디서 유출되었는지 찾아내어 목록화하는 것입니다. 다크웹과 딥웹의 수많은 유출 데이터 저장소와 해커 포럼을 크롤링하여, 우리 기업 임직원의 계정(ID/PW 조합 등)이 노출된 적이 있다면 즉시 식별해줍니다. 예를 들어, “user@mycompany.com“이라는 이메일과 암호가 과거 어떤 해킹사고에서 유출되어 다크웹에 올라왔다면, 제로다크웹은 해당 유출 계정을 리스트업해줍니다. 이를 통해 몇 명의 직원 계정이 유출되었는지, 현재 대응 상태는 어떤지 한눈에 파악할 수 있습니다. 실제 도메인 유출 리포트 화면에서는 기업 메일 계정 유출 현황을 신규 유출, 대응 진행 중, 대응 완료, 총계 등의 상태로 분류해 보여주어 대응 상황을 쉽게 추적할 수 있습니다. 보안 담당자들은 이 목록을 바탕으로 해당 계정의 비밀번호 초기화나 접근 차단, 사용자에게 공지하여 암호를 변경시키는 등 즉각적인 조치를 취할 수 있습니다. 요컨대, “우리 회사 계정 중 누가 털렸는가?”에 대한 답을 가장 빠르게 얻을 수 있는 기능입니다.

2. 유출 상세 분석 – 유출 정보의 세부 내역과 대응 가이드

두 번째로 중요한 기능은 유출 상세 정보 분석입니다. 단순히 계정이 유출되었는지 여부를 넘어서, 어떤 경로로 얼마나 위험한 형태로 유출되었는지를 심도 있게 보여줍니다. 제로다크웹은 탐지된 유출 정보를 유출 시점, 유형, 심각도 등으로 분류하여 타임라인과 함께 제공합니다. 예를 들어 “2023년 3월 외부 사이트 해킹으로 유출(심각도: 높음)”, “2024년 1월 정보공유 포럼에 암호만 해시 형태로 유출(심각도: 중간)” 등으로 사건별 맥락을 이해할 수 있습니다. 대쉬보드에는 그래프로 유출 추이도 표시되어 시간 경과에 따른 유출 증가나 감소를 한눈에 볼 수 있습니다.

특히 개별 유출 건을 클릭하면 상세보기 화면에서 해당 계정의 위험 점수(리스크 스코어), 아이디(이메일 주소), 유출 유형(예: 크리덴셜 스터핑, 악성코드 유출 등)과 더불어 추천 대응 조치까지 제시됩니다. 예를 들어 “리스크 스코어: 9/10 – 즉시 비밀번호 변경 및 계정 잠금 권고”와 같은 구체적인 가이드가 제공되어 실무자가 어떤 대응을 할지迷惑 없어지죠. 또한 해당 계정의 유출 히스토리도 함께 보여주는데, 이것은 예전에 한번 유출되었던 계정이 또다시 유출된 경우 그 전력을 파악할 수 있게 해줍니다. 이러한 상세 분석을 통해 보안 담당자는 유출 사태의 심각성을 정확히 이해하고, 우선순위를 정해서 대응할 수 있습니다. 예컨대 위험도가 높은 계정부터 MFA 재등록이나 임시 차단을 하고, 비교적 위험이 낮은 경우 모니터링 강화 정도로 구분하는 식입니다. 요약하면, 유출 상세 분석 기능은 “무엇이 얼마나 어떻게 털렸는가?”를 낱낱이 밝혀주고 대응까지 안내하는 역할을 합니다.

3. 도메인 유출 리포트 – 전체 보안 현황과 추세를 한눈에

마지막으로 도메인 유출 리포트 기능이 있습니다. 이는 말 그대로 우리 회사 도메인 전반에 대한 다크웹 노출 현황을 종합적으로 요약한 보고서입니다. 다크웹에서 발견된 우리 정보의 유출 수준을 ‘심각’, ‘주의’, ‘안전’ 세 단계로 분류하여 현재 상태를 평가해주며, 유출된 계정 수와 유출 파일(첨부파일)의 존재 여부를 함께 분석합니다. 이를 통해 우리 조직의 전반적인 위험도를 색깔로 직관적으로 확인할 수 있습니다 (예: “심각”이면 빨간 경고 신호). 또한 기업별로 중요한 키워드(예: 프로젝트명, 제품명 등)에 대한 정보가 다크웹에 언급되었는지도 추적해 해당 키워드가 안전한지 유출되었는지 알려줍니다. 이는 기업의 기밀이나 브랜드와 연관된 민감 정보의 유출 여부까지 점검해주는 것입니다.

더 나아가, IP 기반 멀웨어 감염 보고서도 포함되어 있어 만약 회사 직원 PC에서 정보유출형 악성코드(인포스틸러 등)에 감염된 정황이 있으면, 그 감염된 계정(ID/PW)과 유출된 파일 경로, 악성코드 종류까지 파악할 수 있습니다. 이는 다크웹에 떠도는 정보 중 우리 직원의 PC에서 탈취된 것으로 보이는 데이터까지 밝혀줘 내부 시스템의 멀웨어 감염 여부도 짚어볼 수 있게 합니다. 이러한 도메인 리포트는 주기별로 업데이트되어 유출 추이 변화를 확인할 수 있고, 업계 평균과 비교한 우리 보안 수준도 가늠하게 해줍니다. 결국 경영진이나 보안 책임자는 이 리포트를 통해 전사 차원의 보안 상태를 한눈에 파악하고, 향후 보안 전략을 수립하는 데 활용할 수 있습니다. 가령 “이 분기에는 계정 유출 사고가 늘었으니 추가 교육과 솔루션 도입이 필요하겠다”는 식의 의사결정에 근거 자료를 제공하는 것이죠.

우리 조직 계정도 이미 다크웹에 떠돌고 있을 수 있습니다

안타깝게도 우리 조직의 계정 정보도 이미 다크웹 어딘가에 올라가 있을 수 있다는 가정하에 대비하는 것이 현명합니다. “설마 우리 회사가?”라는 방심이 가장 위험하며, 보안에서는 아는 것이 힘입니다. 계정 유출은 한 번 발생하면 금전 손실뿐 아니라 기업 신뢰도 추락, 업무 차질 등 막대한 피해로 이어집니다. 그러므로 지금 당장 우리 계정의 다크웹 유출 여부를 확인하고 대응책을 마련해야 합니다. 개인정보보호위원회 등도 개인과 기업에게 MFA 활성화와 함께 다크웹 유출 여부 확인을 위한 모니터링 서비스를 활용할 것을 권고하고 있습니다.

제로다크웹 무료 데모를 통해 우리 조직의 계정이 다크웹에 유출되었는지 실시간으로 확인해 보시기 바랍니다. 데모 신청을 하면 실제 제로다크웹이 어떻게 계정을 탐지하고 분석하는지 체험 보고서를 받아볼 수 있습니다. 보고서를 통해 우리 회사의 정보 유출 흔적과 위험 수준을 직접 확인하면, 다가오는 위협에 어떻게 대비해야 할지 분명해질 것입니다. 지금 바로 제로다크웹 데모를 신청하여, 우리 조직의 소중한 정보를 지키는 첫 걸음을 시작해 보세요!