국내 1위 사이트 “여기까지 배신할 줄이야”… 1500만 명 개인정보 ‘날벼락’

‘믿고 썼건만’ 충격 받은 이용자들
디지털 시대의 최대 리스크, 내 정보 지키기

믿고 사용하던 글로벌 온라인동영상서비스(OTT) 플랫폼에서 대규모 개인정보 유출 사태가 발생했다.

국내에서만 1500만 명 이상이 이용 중인 ‘넷플릭스’와 ‘디즈니플러스’가 이번 보안 사각지대의 한복판에 놓였다. 계정 도용은 물론, 은행 정보와 브라우저 기록까지 줄줄이 털리는 상황이 현실로 나타난 것이다.

특히 넷플릭스는 국내 월간 이용자 수 1300만 명을 넘기며 가장 널리 쓰이는 플랫폼인 만큼, 피해 확산 우려도 그만큼 크다.

700만 건 넘는 계정 유출… 한국도 피해 상위권

보안기업 카스퍼스키가 발표한 분석 보고서에 따르면, 2024년 한 해 동안 넷플릭스를 비롯한 글로벌 OTT 플랫폼의 계정 유출 사례가 무려 703만 건에 달했다.

이 중 80%에 해당하는 약 563만 건은 넷플릭스 계정이었으며, 피해는 남미 국가들을 중심으로 발생했으나 한국 역시 전체 국가 중 7번째로 많은 피해를 입은 것으로 나타났다.

이외에도 디즈니플러스 68만 건, 아마존 프라임 비디오 약 1600여 건 등 다수의 서비스가 줄줄이 타격을 입었다.

하지만 이번 사태의 직접적인 원인은 플랫폼 자체가 해킹당한 것이 아니라, 사용자들이 이용하는 스트리밍 기기가 악성코드에 감염돼 해커의 침입 통로로 악용됐을 가능성이 크다는 분석이 나온다.

보안업체 카스퍼스키는 “멀웨어는 불법 콘텐츠 다운로드나 브라우저 확장 프로그램, 손상된 애플리케이션 등을 통해 퍼진다”며, “이후 해커는 사용자의 로그인 정보, 세션 기록, 기타 민감한 데이터를 몰래 수집할 수 있다”고 경고했다.

문제는 단순 계정 도용에 그치지 않는다는 점인데, 멀웨어에 감염된 사용자 기기를 통해 공격자는 계정 정보 외에도 브라우저 쿠키, 결제 정보, 심지어 세션 데이터까지도 탈취할 수 있는 것으로 분석됐다.

카스퍼스키 측은 “이렇게 수집된 정보는 다크웹에 판매되거나, 해커의 명성을 위한 수단으로 무료 유포되기도 한다”고 밝혔다.

‘불법 스트리밍 한 번’에 계좌까지 털려

문제의 출발점은 단순한 불법 콘텐츠 접근이었다. 무료 드라마나 영화 한 편 보겠다는 가벼운 마음으로 접속한 스트리밍 사이트가 악몽의 시작이 된 셈이다.

불법 스트리밍 사이트의 경우, 보안이 허술해 해커들이 악성코드를 심어두기 좋다. 한번 클릭만 해도 사용자의 이름, 연락처, 카드정보 등 민감한 데이터가 고스란히 노출된다.

특히 아이디와 비밀번호를 다른 사이트에서도 함께 사용하는 경우, 피해는 연쇄적으로 확산된다.

실제 신고된 사례를 보면, 신용카드 무단 결제는 물론 이메일 계정 도용, 민감 문서·사진 유출까지 다양한 2차 피해가 이어지고 있다.

유출된 정보는 다크웹에서 거래되어 보이스피싱, 주식 리딩방 사기, 심지어 불법 도박·마약 관련 범죄에 악용되기도 한다.

한 보안 전문가는 “불법 콘텐츠 이용은 결국 스스로 디지털 지갑을 열어주는 꼴”이라며 “무료의 유혹이 감당할 수 없는 대가로 되돌아온다”고 경고했다.

개인정보 보호, 무엇보다 중요한 것은 ‘예방’

전문가들은 이번 사례를 계기로 몇 가지 기본적인 보안 수칙을 반드시 지킬 것을 강조했다. 먼저, 수상한 로그인 흔적이 발견되거나 의심스러운 활동이 감지된 계정은 즉시 비밀번호를 변경해야 한다.

또한 불법 콘텐츠나 의심스러운 웹사이트는 절대 이용하지 말아야 하며, 브라우저와 애플리케이션은 항상 최신 버전으로 업데이트해 보안 취약점을 최소화해야 한다.

아울러 출처가 불분명한 이메일이나 첨부파일은 절대로 열지 않는 것이 안전하다고 조언했다.

정부가 ‘털린 내 정보 찾기’와 같은 서비스를 통해 다크웹에서의 정보 유통 여부를 확인할 수 있도록 지원하고 있지만, 무엇보다 중요한 것은 사고 이후의 조치가 아니라 평소의 철저한 예방이다.