240억 개의 도난당한 로그인과 비밀번호가 한 곳에 모여 있었습니다 — 누구나 연결할 수 있는 공개 서버에서. Cybernews 연구자들이 발견한 이 자료는 단순한 "N백만의 유출"이 아닙니다. 이는 целая 산업의 전시입니다: 정보 도둑들이 계정 정보를 훔치고, 콤보 리스트가 이를 집계하며, 봇 군대가 이를 웹사이트를 통해 돌려보내면서 각 시도를 실제 사용자처럼 보이게 하기 위해 주거용 및 모바일 프록시를 사용합니다. 우리가 발견한 것과 계정 대입 공격(credential stuffing)의 작동 방식, 그리고 이 그림자 시장이 합법적인 웹 스크래핑과 멀티 계정 운영에 미치는 영향에 대해 알아보겠습니다.
무슨 일이 있었나: 8.3TB와 240억 개의 기록이 한 서버에
2026년 6월 12일, Cybernews 연구자들은 8.3테라바이트 크기의 공개 Elasticsearch 클러스터를 발견했습니다. 이 클러스터에는 240억 개의 기록이 포함되어 있었습니다. 이 데이터베이스는 비밀번호나 어떤 인증도 없이 보호되지 않았으며, 주소를 아는 누구나 읽을 수 있었습니다. 발견이 발표된 직후, 서버는 오프라인으로 전환되어 연구자들은 소유자를 추적할 시간이 없었습니다.
이 데이터는 36개의 출처에서 수집되었으며, 이는 중요한 세부 사항입니다. 대부분은 이른바 "컬렉션"으로, 약 226억 개의 기록이 포함되어 있지만, 나머지의 구조도 특히 주목할 만합니다:
- 17억 개 이상의 기록이 Telegram 채널에서 직접 수집되었습니다 — 36개 출처 중 30개 이상이 도난당한 데이터를 공개적으로 거래하는 채널이었습니다;
- 약 2억 6천만 개의 기록이 "Darkside"에 대한 언급이 있는 채널에서 수집되었습니다;
- 약 1억 5천만 개는 로컬 데이터베이스 덤프입니다;
- 약 1억 4천6백만 개는 이전 유출의 컴파일(콤보 리스트)입니다.
내부에는 단순한 "이메일과 비밀번호"가 아닙니다. 데이터의 상당 부분은 정보 도둑의 로그입니다: RedLine, Lumma, Vidar와 같은 악성 소프트웨어가 감염된 브라우저에서 모든 것을 추출합니다. 더 완전한 로그에는 저장된 비밀번호, 세션 쿠키 및 토큰 — 이중 인증을 우회할 수 있는 것들, 자동 완성 데이터, 장치 지문 및 때때로 암호화폐 지갑이 포함되어 있습니다. 각 기록은 일반적으로 비밀번호가 적합한 서비스의 URL이 함께 제공됩니다 — 즉, "어디에 로그인할지"에 대한 준비된 지침입니다.
또한 우려스러운 점은 간접적인 증거에 따라 (데이터 내에서 2026년까지의 최신 자료에 대한 링크가 발견됨) 소유자가 정기적으로 데이터베이스를 업데이트했다는 것입니다. 이는 아카이브된 쓰레기장이 아니라, 살아있는, 업데이트되는 도구입니다.
유출된 비밀번호로 돈을 버는 방법: 계정 대입 공격
로그인-비밀번호 목록 자체는 실제 웹사이트에서 확인되지 않으면 쓸모가 없습니다. 이를 수행하는 것이 credential stuffing — 계정 대입 공격입니다: 자동화된 봇이 도난당한 쌍을 가져와 수백 개의 서비스에 로그인 시도를 대량으로 합니다. 이는 사용자가 여러 곳에서 동일한 비밀번호를 사용하는 것에 기대를 걸고 있습니다.
문제의 규모는 2025년 Verizon DBIR 데이터에서 잘 나타납니다. 계정 대입 공격은 SSO 제공업체의 로그에서 일일 로그인 시도의 중앙값 19%를 차지했으며, 대기업에서는 이 비율이 25%에 달했고, 최악의 경우 하루에는 로그인 트래픽의 44%에 달했습니다. 도난당한 계정 정보는 22%의 확인된 해킹의 초기 벡터였습니다. 2025년 동안 다크넷 콤보 리스트에서 약 20억 개의 고유한 쌍이 수집되었으며, 이제 한 서버에는 240억 개의 기록이 있었습니다.
여기서 프록시 산업과 직접적으로 관련된 부분이 시작됩니다. 공격자들은 초기 시도에서 발각되지 않기 위해 주거용 및 모바일 프록시 풀을 통해 요청을 전송합니다: 각 로그인 시도는 실제 제공업체나 모바일 운영자의 새로운 IP 주소에서 발생합니다. 웹사이트 보호 측면에서 이는 한 대의 의심스러운 기계가 천 번 시도하는 것이 아니라, 다양한 도시에서 온 천 명의 "일반 사용자"처럼 보입니다. 한 IP에서의 요청 빈도에 대한 전통적인 보호는 이러한 회전에서 거의 쓸모가 없습니다.
왜 이것이 합법적인 스크래핑과 멀티 계정 운영에 타격을 주는가
정직한 데이터 수집, SMM 자동화 또는 비즈니스를 위해 여러 계정을 운영하는 사람들과는 무슨 관계가 있을까요? 안티봇 시스템은 의도를 구별하지 않고 패턴을 구별합니다. 악성 사용자가 주거용 IP를 통해 계정 대입 공격을 실제 트래픽으로 위장할수록, Cloudflare, Akamai, DataDome 및 AWS WAF는 모두에게 더 강력한 제재를 가합니다.
따라서 감지의 기준이 IP 수준에서 신원 수준으로 이동합니다. 오늘날 필터는 주소보다 고객의 행동과 네트워크 지문이 어떻게 보이는지를 더 많이 봅니다:
- TLS 및 HTTP 지문(JA3/JA4) — 핸드셰이크가 선언된 브라우저와 일치하지 않으면 고객은 의심스럽게 표시됩니다;
- 타이밍 행동 분석 — 실제 사람은 행동 간의 간격이 "흔들리지만", 스크립트는 거의 동일한 간격을 생성합니다;
- 성공 비율의 이상 — 여러 계정에 분산된 드문 성공적인 로그인은 스태핑의 전형적인 서명입니다;
- 헤더 및 JavaScript의 공백 — 페이지를 완전히 렌더링하지 않는 봇은 쿠키와 JS가 설정하는 값을 잃습니다.
이러한 이유로 2026년에는 스크래핑이 점점 더 신원 게임으로 변모하고 있으며, IP 수의 경쟁이 아닙니다 — 우리는 TLS 및 JA4 지문의 메커니즘을 별도로 자세히 설명했습니다. 정직한 프로젝트에 대한 간단한 결론은: 품질과 "청결"이 이제 양보다 더 중요하다는 것입니다. 어제 다른 사람의 비밀번호를 추측하는 데 사용된 IP는 오늘날 이미 평판 시스템의 블랙리스트에 올라 있으며, 이는 귀하의 합법적인 트래픽을 끌어내립니다.
또한 평판 측면이 있습니다. 해킹된 스마트 TV의 봇넷과 최근의 그림자 프록시 네트워크의 제거에 대한 스캔들은 일부 "주거용" 시장이 의심스러운 출처에서 공급된다는 것을 보여주었습니다. 비즈니스에 대한 신호는 IP의 출처가 투명하고 명확한 KYC를 갖춘 공급자를 선택하라는 것입니다, 가장 저렴한 품질 불명의 풀을 선택하는 것이 아닙니다. 합법적인 주거용 프록시와 모바일 프록시는 바로 그 "청결한" 평판을 제공합니다 — credential-stuffing 트래픽과 같은 세그먼트에 포함될 위험 없이.
지금 당장 할 일
일반 사용자에게 이러한 유출에 대한 주요 보호는 비밀번호 자체가 아니라 고유성입니다. 포럼의 비밀번호를 훔친 정보 도둑은 동일한 비밀번호가 이메일과 은행에 적합한 만큼만 위험합니다.
- 각 서비스에 대해 고유한 비밀번호와 이를 기억하지 않기 위한 비밀번호 관리자. 계정 대입 공격은 반복 사용에만 의존합니다.
- 중요한 계정에 대한 이중 인증 또는 패스키 — 이메일, 은행, 상점, 소셜 미디어. 유출된 비밀번호가 있더라도 두 번째 요소 없이는 로그인하기가 더 어렵습니다.
- 세션 토큰에 대해 기억하세요. 정보 도둑들은 비밀번호 입력 및 2FA를 통과하는 쿠키를 훔칩니다 — 따라서 감염이 의심되는 경우 비밀번호를 변경하는 것뿐만 아니라 모든 장치에서 활성 세션을 종료하는 것이 좋습니다.
- 무엇이든 실행하지 마세요. 정보 도둑들은 악성 광고, 가짜 "브라우저 업데이트", 해킹된 소프트웨어, 게임 치트, 의심스러운 확장 및 ClickFix 공격을 통해 퍼집니다. 이 공격에서는 피해자가 스스로 명령을 실행하도록 설득됩니다.
웹사이트 작업을 합법적으로 자동화하는 사람들에게는 다른 교훈이 있습니다: 신원을 분리하고 혼합하지 마세요. 별도의 계정 세트는 별도의 깨끗한 IP, 일관된 지문을 가진 별도의 브라우저 프로필을 필요로 합니다. 바로 이것이 안티 감지 시나리오를 구축하는 방법이며, 저렴한 "회색" 프록시 풀은 오늘날 프로젝트에 더 위험합니다.
결론
비밀번호가 없는 서버에 240억 개의 기록이 있다는 것은 단순한 기록이 아니라 작동하는 경제의 스냅샷입니다: 정보 도둑이 입구에, 콤보 리스트가 중간에, 주거용 프록시를 통한 계정 대입 공격이 출구에 있습니다. 사람들이 비밀번호를 재사용하는 한, 이 컨베이어는 수익성이 있으며, 안티봇 보호는 점점 더 엄격해질 것입니다. 위생을 무시하는 사람이 패배할 것입니다: 고유한 비밀번호와 2FA가 없는 일반 사용자와 인프라의 청결성을 절약하려는 비즈니스입니다. 신원이 아닌 IP에 기반한 감지가 이루어지는 세상에서 투명성과 품질에 대한 투자는 더 이상 사치가 아닙니다.
```