Adobe, LinkedIn, Yahoo, Facebook — 우리가 데이터를 맡긴 기업들은 모두 큰 침해를 경험했습니다. 거의 모든 경우에 이메일 주소는 가장 먼저 도난당하는 것 중 하나입니다. 비밀번호 재설정, 2단계 인증, 은행 알림의 핵심 열쇠이기 때문입니다.

보안 연구원 Troy Hunt가 만든 무료 도구 Have I Been Pwned를 통해 알려진 침해에 주소가 등장했는지 확인할 수 있습니다. Statista에 따르면 전 세계에서 전송되는 이메일의 약 45~50%가 스팸입니다.

침해 후 전체 공격 연쇄

데이터 침해의 피해는 한 번에 발생하지 않습니다. 큰 침해 후 몇 시간 또는 며칠 내에 도난 데이터가 다크웹 마켓에 등장합니다. 이메일 주소와 가능하면 해시된 비밀번호가 대량으로 판매됩니다. 그 다음 스팸 캠페인이 시작됩니다. 그 후 더 위험한 자격증명 채우기 공격이 이어집니다: 자동화된 도구가 이메일과 도난된 비밀번호를 수백 개의 다른 서비스에서 시도합니다.

더 정교한 것은 표적 피싱입니다. 공격자들은 침해 데이터를 사용하여 당신에 대한 실제 정보를 참조하는 설득력 있는 이메일을 만듭니다. Electronic Frontier Foundation은 여러 침해에서 데이터를 집계하여 개인의 상세한 프로필을 만드는 방법에 대해 자세히 기술했습니다.

이메일 주소가 그토록 가치 있는 이유

도난당한 신용카드는 몇 분 내에 차단할 수 있습니다. 도난된 비밀번호는 변경할 수 있습니다. 하지만 이메일 주소는? 반영구적입니다. 수년, 어쩌면 수십 년 동안 사용해왔습니다. 수십 개의 서비스가 그것으로 등록되어 있습니다. GDPR은 EU 거주자에게 데이터 삭제를 요청할 권리를 부여하지만, 이미 판매되거나 복사된 데이터에는 도움이 되지 않습니다.

공격 표면 문제

실제 이메일 주소를 보유한 모든 서비스는 잠재적 침해 지점입니다. 임시 이메일을 불필요한 등록에 사용하면 상황이 근본적으로 바뀝니다. 나중에 그 데이터베이스가 침해되더라도 실제 주소는 단순히 그 안에 없습니다.

이메일이 유출된 경우 해야 할 일

1. Have I Been Pwned에서 어떤 침해가 관련되었는지, 어떤 데이터가 포함되었는지 확인하기
2. 해당 서비스에서 즉시 비밀번호 변경하기
3. 같은 비밀번호를 다른 곳에서도 사용했는지 확인하고 모든 곳에서 변경하기
4. 영향받은 계정에서 2단계 인증 활성화하기
5. Have I Been Pwned에서 무료 침해 알림 설정하기
6. 침해된 서비스를 언급하는 피싱 이메일 주의하기

더 나은 습관 구축하기

이메일 주소의 공격 표면을 줄이는 것이 가장 효과적인 예방 조치입니다. 실제 주소는 진정으로 신뢰하는 서비스에만 존재해야 합니다. 그 외 모든 것에는 일회용 주소가 실제 주소를 보호합니다. Proton Mail이나 SimpleLogin 같은 서비스가 도움이 됩니다.

진정으로 일회성 상호작용에는 임시 메일이 가장 깔끔한 해결책입니다 — 설정 불필요, 계정 불필요, 실제 신원 불필요.