듀오링고의 마스코트인 올빼미가 보낸 이메일은 대개 사용자에게 큰 불편함을 줄 수 있습니다. 하지만 최근에는 사이버 범죄자들이 듀오링고 사용자들의 이메일 주소와 기타 데이터를 확보하여 더욱 정교한 피싱 공격을 시도할 수 있게 되었습니다.
이제 왜 듀오링고에서 발송된 이메일을 섣불리 신뢰해서는 안 되는지 그 이유를 자세히 알아보겠습니다.
공격자들은 듀오링고에서 어떻게 개인 정보를 얻었을까요?
놀랍게도 대부분의 듀오링고 사용자 정보는 시간과 약간의 노력만 있다면 누구든지 쉽게 접근할 수 있습니다. 듀오링고 웹사이트의 프로필 페이지(https://www.duolingo.com/profile/[사용자 이름])를 방문하면 사용자 이름, 프로필 사진, 학습 중인 언어 등 기본적인 프로필 정보를 확인할 수 있습니다.
몇 시간 정도 시간을 투자한다면, 수많은 프로필을 조사하여 다른 플랫폼에서 사용되는 사용자 이름을 찾거나, 프로필 사진을 이용한 이미지 역검색을 통해 해당 프로필이 인터넷 상에서 어디에 나타나는지 확인할 수 있습니다.
물론 이런 방법은 재미있을 수 있지만, 대량의 데이터를 수집하는 것이 목적이라면 웹사이트에서 정보를 추출하는 애플리케이션을 개발하는 것이 훨씬 더 효율적입니다.
플랫폼 자체에서 제공하는 API(애플리케이션 프로그래밍 인터페이스)를 이용하면 Facebook, Twitter, LinkedIn 또는 듀오링고와 같은 플랫폼에서 대량의 공개 데이터를 훨씬 더 쉽고 빠르게 수집할 수 있습니다.
2023년 1월, The Record에 따르면, 해커들이 듀오링고 API를 악용하여 260만 명의 사용자 공개 데이터를 스크랩했고, 현재는 폐쇄된 breaked.to 포럼에 해당 데이터를 판매용으로 게시했다고 보도했습니다.
듀오링고 측은 해당 데이터의 존재를 인정했지만, 이 데이터는 공개 프로필 정보이며 해킹이나 데이터 유출이 발생한 것은 아니라고 주장했습니다.
2023년 8월 22일, 악성코드 정보 공유 플랫폼인 VX-Underground는 X (구 트위터)를 통해 이 데이터 세트에 사용자 이메일 주소도 포함되어 있으며, 이 정보가 이름, 전화번호와 같은 추가 정보를 얻는 데 사용될 수 있었다는 사실을 밝혔습니다.
듀오링고 정보는 어떻게 악용될 수 있을까요?
듀오링고에서 보낸 이메일은 워낙 자주 발송되어 일종의 밈으로 자리 잡았습니다. 하루라도 외국어 학습을 건너뛰면 듀오링고의 올빼미 마스코트인 듀오가 당신의 받은 편지함에 나타나 슬퍼하는 모습을 보여줍니다.
그 후에는 학습 진도가 중단되었다거나, 순위표에서 밀려났다는 등의 메시지와 함께, 3분 학습을 독려하는 이메일이 연달아 발송됩니다.
각 이메일에는 사용자의 최근 언어 학습 활동에 대한 정보와 함께 듀오링고 웹사이트에 로그인할 수 있는 편리한 링크가 포함되어 있습니다.
이제 사용자의 이름, 듀오링고 정보 및 활동 정보가 잠재적인 범죄자들의 손에 넘어갔으므로, 그들이 사용자를 속여 링크를 클릭하게 만드는 피싱 이메일을 손쉽게 만들어낼 수 있습니다.
이러한 링크는 대부분 로그인을 요구할 것이고, 이는 공격자들에게 당신의 비밀번호를 넘겨주는 결과를 초래할 수 있습니다.
공격자들이 다양한 듀오링고 관련 도메인을 활용하면 피싱 이메일이 더욱 실제처럼 보일 수 있습니다. 예를 들어, duolingo.live, duolingo.tech, duolingo.world 또는 duolingo.life에서 발송된 이메일을 신뢰하시겠습니까? 이 모든 도메인은 현재 10달러 미만으로 구매할 수 있으며, 좀 더 매력적인 duolingo.club은 약 600달러(글 작성 시점 기준)로 비교적 높은 가격에 구매할 수 있습니다.
범죄자들은 당신의 이메일 주소와 비밀번호를 사용하여 다른 온라인 계정을 공격할 수도 있습니다.
듀오링고 피싱 사기로부터 자신을 보호하는 방법
만약 당신의 정보가 260만 건의 데이터 세트에 포함되었을까 봐 걱정된다면, 우선 Haveibeenpwned에 접속하여 자신의 이메일 주소를 입력해 보십시오. 만약 당신의 정보가 유출된 적이 있다면 해당 정보가 어떤 사건으로 유출되었는지 확인할 수 있습니다.
다음으로, 듀오링고에서 보내는 모든 이메일을 수신 거부해야 합니다. 어차피 해당 이메일들은 대부분 귀찮고, 혹시라도 받은 편지함에 피싱 이메일이 들어왔을 때 구별하기 어려워질 수 있습니다. 수신 거부 버튼 자체가 피싱일 수도 있으므로, 듀오링고 웹사이트에서 제공하는 방법을 통해 수신 거부하는 것이 안전합니다.
가능하다면 각 서비스마다 다른 비밀번호를 사용하는 것이 좋습니다. 이렇게 하면 데이터 유출 사고로 인해 비밀번호가 유출되거나 피싱 공격으로 인해 실수로 비밀번호를 노출하더라도 다른 계정에는 영향을 미치지 않습니다.
가능하다면 각 웹사이트나 앱에 고유한 이메일 주소를 사용하는 것도 좋은 방법입니다. 이메일 주소를 변조하는 것은 쉽고, 이렇게 하면 당신의 주소가 다른 스팸 캠페인에 악용되는 것을 막을 수 있습니다. 이를 위해 간단한 포괄 이메일 전달 서비스를 사용하는 것을 추천합니다.
듀오링고 외에도 새로운 언어를 배울 수 있는 다양한 방법이 있습니다
만약 듀오링고의 API를 통해 공개 및 비공개 데이터를 제공하는 방식이 마음에 들지 않거나, 듀오링고의 학습 방식에 불만이 있다면 듀오링고를 완전히 포기하는 것을 고려해볼 수 있습니다.
듀오링고를 떠난다고 해서 외국어 학습을 포기해야 하는 것은 아닙니다. 온라인에서 언어를 배울 수 있는 훌륭한 웹사이트와 서비스는 많이 있습니다.