미국 투자 리서치 기업 잭스 투자 리서치(Zacks Investment Research, 이하 잭스)가 2024년 6월 발생한 해킹으로 약 1,200만 명의 사용자 계정 정보가 유출된 것으로 알려졌다. 이번 사건은 2025년 1월 말, 한 해커가 포럼에 해당 데이터 일부를 게시하며 드러났다.
이번 유출된 데이터에는 사용자들의 실명, 사용자명, 이메일 주소, 물리적 주소, 전화번호, IP 주소, 그리고 솔트 처리되지 않은 SHA-256 해시 형태의 비밀번호가 포함돼 있었다. 비밀번호가 솔트 처리 없이 저장됐다는 점은 해커들이 무차별 대입 공격(Brute-force attack)으로 비밀번호를 쉽게 해독할 수 있다는 점에서 심각한 보안 우려를 낳고 있다.
솔트 처리(Salting)는 비밀번호를 암호화할 때 임의의 문자열(솔트)을 추가해 보안을 강화하는 방법이다. 비밀번호를 그대로 암호화하면, 해커가 레인보우 테이블이라는 사전 공격 기법으로 암호를 쉽게 해독할 수 있다. 하지만 암호화 전에 솔트를 추가하면, 같은 비밀번호라도 각 사용자마다 다른 암호값이 생성되기 때문에 해커가 해독하기 훨씬 어려워진다.
해커는 잭스의 액티브 디렉토리에 도메인 관리자 권한으로 접근해 주요 웹사이트(Zacks.com)와 16개의 내부 사이트를 포함한 소스코드를 탈취했다고 주장했다. 이들은 탈취한 소스코드 일부를 증거로 제시하기도 했다.
이번 사고는 잭스가 최근 4년 동안 겪은 세 번째 주요 데이터 유출 사건이다. 2023년 1월, 잭스는 2021년 11월부터 2022년 8월까지 해커들이 자사 네트워크에 침입해 82만 명의 고객 정보를 탈취했다고 발표했다. 같은 해 6월에는 약 880만 명의 사용자 데이터가 포함된 별도의 데이터베이스가 유출된 바 있다. 이 데이터베이스는 이메일, 사용자명, 솔트 처리되지 않은 SHA-256 비밀번호, 주소, 전화번호, 실명이 포함돼 있었으며, 2020년 5월 발생한 해킹으로 유출된 것으로 파악됐다.
현재 잭스는 이번 해킹 사고에 대해 공식 입장을 내놓지 않고 있다. 이전 사건에서는 피해 사용자들에게 비밀번호 변경을 요구하고 보안 조치를 강화했지만, 이번 사고와 관련된 공식적인 대응이나 공지는 없는 상황이다.
보안 전문가들은 이번 사고를 통해 사용자와 기업 모두에게 강력한 보안 관리의 필요성을 다시 한번 강조했다. 전문가들은 피해 사용자들에게 잭스 계정 비밀번호를 즉시 변경하고, 동일한 비밀번호를 사용한 다른 계정들도 변경할 것을 권고했다. 특히, 각기 다른 강력한 비밀번호를 사용하는 것이 중요하다고 강조했다. 또한, 가능하다면 2단계 인증(2FA)을 설정해 추가적인 보안 장치를 마련할 필요가 있다고 조언했다.
또 기업들에게는 비밀번호 저장 시 솔트를 포함한 강력한 암호화 방식을 적용하고, 정기적인 보안 점검과 보안 교육을 통해 해킹 시도에 대비할 필요가 있다고 지적했다. 아울러 사고 발생 시 신속하게 대응할 수 있는 보안 사고 대응 계획을 마련하고 지속적으로 업데이트하는 것이 필수적이라고 말했다.
★정보보안 대표 미디어 데일리시큐 /Dailysecu, Korea's leading security media!★
![[단독]영업정지 '은거래소' 홈피서 골드바 팔았다…소비자 발동동](https://pds.joongang.co.kr/news/component/htmlphoto_mmdata/202502/19/06af6d66-5fb5-4a2f-8b47-3e1ee1f580c5.jpg)
![금융 이력 부족해도 대출 가능?...AI가 이끄는 새로운 신용 평가 [트랜D]](https://pds.joongang.co.kr/news/component/htmlphoto_mmdata/202502/18/c9b8b8eb-d79e-4253-b627-bb491fec4c07.jpg)
