월간 활성 사용자가 수천만 명에 달하는 널리 사용되는 언어 학습 애플리케이션인 듀오링고는 올해 초 데이터 유출로 인해 250만 명 이상의 개인 정보가 노출되는 사고가 발생했습니다.
데이터 유출로 인해 이름, 연락처 정보, 등록한 코스 등 개인과 관련된 개인 정보 및 학업 세부 정보가 무단으로 공개되었습니다. 사용자가 자신을 보호하기 위한 적절한 조치를 취할 수 있도록 이 사건에 대한 정보를 제공하는 것이 중요합니다.
듀오링고 데이터 유출: 무슨 일이 일어났나요?
2023년 1월, 약 260만 명의 고객 개인정보가 유출되어 사이버 범죄자들을 대상으로 하는 온라인 플랫폼에서 1,500달러에 판매되고 있다는 사실이 밝혀졌습니다.
해당 포럼은 폐쇄되었지만 VX-Underground의 사이버 보안 전문가들은 도난당한 정보가 ‘사이트 크레딧’으로 지정된 8개의 디지털 토큰으로 표시된 약 2.13달러에 해당하는 금액으로 플랫폼의 업데이트된 반복에서 구매할 수 있는 것으로 밝혀졌습니다.
무단 액세스를 수행한 것으로 추정되는 개인이 제공한 정보에 따르면, 이들은 보안되지 않은 애플리케이션 프로그래밍 인터페이스(API)에서 데이터를 추출하고 약 1,000개의 레코드 하위 집합을 증거로 제공했다고 주장합니다. 사이버 범죄자는 이전 보안 사고에서 얻은 이메일 주소를 활용하여 해당 주소가 듀오링고의 활성 계정과 연관되어 있는지 확인하기 위해 해당 플랫폼의 API에 제출했으며, 그 결과 공개적으로 액세스 가능한 세부 정보와 기밀 정보로 구성된 요약본이 생성된 것으로 의심됩니다.
듀오링고 담당자가 제공한 성명서에서는 획득한 데이터가 공개적으로 액세스 가능한 프로필에서 비롯되었다고 주장하지만, 추출된 정보에 일반적으로 사적인 정보로 간주되는 실명, 로그인 자격 증명, 언어 능력 기록, 전자 메일 주소와 같은 개인 정보가 포함되어 있다는 점에서 이러한 주장을 완전히 지지하기는 여전히 어렵습니다.
듀오링고 해킹의 영향을 받은 사람은 누구인가요?
Surfshark의 조사에 따르면, 최근 듀오링고 데이터 유출로 인해 미국이 불균형적으로 큰 영향을 받았으며, 약 100만 개의 사용자 계정이 유출된 것으로 밝혀졌습니다. 피해 국가별로는 남수단에서 약 17만 5천 명의 사용자가 피해를 입었으며, 스페인이 12만 3천 명, 프랑스가 10만 5천 명, 영국이 9만 8천 명으로 그 뒤를 이었습니다.
이 침해로 인해 영향을 받은 각 이메일 계정에 대해 개인의 이름, 사용자 이름, 프로필 이미지, 소속 언어, 지리적 위치 등 약 5가지 정보가 무단으로 공개되었습니다. 안타깝게도 특정 경우에는 이러한 사용자와 관련된 모든 세부 정보가 완전히 노출되었습니다.
스크랩된 데이터는 다음에 어떻게 되나요?
데이터 중개업체는 스크랩된 소셜 미디어 정보를 자주 확보하여 마케팅을 비롯한 수많은 용도로 제3자에게 배포합니다. 그러나 사이버 범죄자는 피해자의 실명과 합법적인 이메일 주소를 사용하여 표적 피싱 캠페인과 같은 사회 공학적 공격을 수행하기 위해 듀오링고 사용자 계정의 손상된 데이터를 악용할 수 있습니다.
피해를 입은 개인은 할인된 가격의 어학 코스 또는 대상 언어가 일반적으로 사용되는 목적지로의 여행 기회와 같은 매력적인 제안을 제공하는 개인화된 피싱 메시지의 표적이 될 수 있습니다. 사기꾼은 사용자의 이름, 듀오링고의 특정 어학 코스 진행 상황, 모국 데이터와 같은 민감한 정보에 액세스하여 이러한 메시지를 더욱 설득력 있고 관련성 있게 만들 수 있습니다.
악의적인 행위자는 듀오링고를 사칭하는 사기 이메일을 작성하는 것으로 알려져 있으며, 여기에는 언어 학습 플랫폼의 구독 기반 버전 또는 고급 과정으로 연결되는 링크가 포함되어 있습니다. 해당 링크를 클릭할 때 해당 정보를 입력하여 실수로 개인 금융 데이터를 제공하면 민감한 정보가 유출될 수 있습니다.
듀오링고 데이터 유출에 대처하는 방법
다양한 인터넷 플랫폼에서 디지털 정보를 샅샅이 뒤지는 것은 수많은 유명 기술 회사들이 직면한 과제로 떠올랐습니다. 2021년 4월에 데이터 스크래핑 기술을 통해 약 5억 명의 LinkedIn 사용자의 개인 정보가 불법적으로 유출된 사건이 대표적인 예입니다.
침해가 보고된 후 데이터 보안에 대한 의구심이 드는 경우, 잠재적인 우려를 완화하기 위해 취할 수 있는 특정 조치가 있습니다. 이러한 조치 중에는 HaveIBeenPwned 웹사이트를 방문하여 개인 정보가 유출되었는지 여부를 확인하는 것도 포함됩니다. 현재 영향을 받은 모든 듀오링고 데이터는 이 리소스의 데이터베이스에 분류되어 있는 것으로 확인되었습니다.
피싱 사기의 피해를 입지 않으려면 모든 이메일 커뮤니케이션, 특히 긴급함을 전달하는 이메일 커뮤니케이션을 꼼꼼하게 검토하는 것이 중요합니다.여기에는 발신자 주소의 진위 여부를 확인하고 의심스러운 하이퍼링크나 첨부파일을 클릭하지 않는 것이 포함됩니다. 또한 신뢰할 수 있는 바이러스 백신 소프트웨어를 설치하면 피싱 이메일에 흔히 포함된 유해한 바이러스에 대한 보안을 한층 강화할 수 있습니다.
듀오링고는 서신을 통해 이러한 유형의 정보를 요청하지 않으므로 모방 공격에 주의하고 이메일을 통해 로그인 자격 증명과 같은 민감한 데이터를 공개하지 않도록 주의해야 합니다. 또한 서비스 제공업체의 권장 사항을 준수하고 비밀번호를 수정하며 보안 강화를 위해 다단계 인증 구현을 고려하는 것이 좋습니다.
듀오링고가 사용자 정보를 보호하기 위해 시행하는 보안 예방 조치에 대해 확신이 없거나 자체 노력의 효과에 의문이 있는 경우, 대체 언어 학습 애플리케이션을 옵션으로 고려해 볼 수 있습니다.
데이터 보호 및 방어 강화
최근 데이터 유출이 기하급수적으로 증가하면서 도용된 정보가 피싱 범죄를 포함한 마케팅 계략 및 사이버 공격과 같은 다양한 불법 활동에 활용되고 있습니다. 안타깝게도 악의적인 단체는 현재 수많은 듀오링고 가입자의 실제 신원 및 전자 메일 서신을 포함하여 상당한 양의 민감한 정보를 보유하고 있습니다.
데이터 유출 위험을 완화하기 위해서는 사용자가 사칭 시도 및 피싱 사기를 식별하는 등 잠재적인 보안 위협을 탐지하는 방법을 숙지하여 사전 예방적 접근 방식을 채택하는 것이 필수적입니다.