세계적인 언어 학습 앱, 듀오링고 데이터 유출 사건
듀오링고는 전 세계 수많은 이용자들이 애용하는 언어 학습 플랫폼입니다. 그러나 2023년 초, 듀오링고는 무려 250만 명이 넘는 사용자 데이터가 외부로 유출되는 심각한 보안 침해 사건을 겪었습니다.
이번 데이터 유출로 인해 실명, 이메일 주소, 전화번호와 같은 개인 정보는 물론, 사용자가 등록한 강의 정보까지 노출되었습니다. 이 사건에 대해 반드시 알아야 할 주요 내용은 다음과 같습니다.
듀오링고 데이터 유출: 사건의 전말
2023년 1월, 260만 명에 달하는 사용자 계정 정보가 해킹 포럼에서 1,500달러에 판매되면서 대중에게 처음으로 알려졌습니다.
해당 포럼은 현재 폐쇄되었지만, 보안 전문가 VX-Underground에 따르면 유출된 데이터는 새로운 형태의 포럼에서 8 사이트 크레딧(약 2.13달러)에 다시 판매되고 있다고 합니다.
공격자들은 공개된 API를 이용해 데이터를 수집했으며, 1,000개 계정의 샘플을 공개했습니다. 과거의 데이터 침해 사례에서 얻은 이메일 주소를 API에 입력하여 해당 주소가 듀오링고 계정과 연결되어 있는지 확인한 후, 공개 및 비공개 정보를 포함한 데이터 세트를 만들었을 가능성이 있습니다.
듀오링고 측에서는 유출된 정보가 공개 프로필에서 수집된 것이라고 주장합니다. 하지만 유출된 데이터에는 일반적으로 공개되지 않는 실명, 로그인 정보, 학습 진도, 이메일 주소 등이 포함되어 있어 듀오링고의 주장을 그대로 받아들이기는 어렵습니다.
듀오링고 해킹, 피해자는 누구인가?
Surfshark의 연구에 따르면, 듀오링고 데이터 유출 피해가 가장 큰 국가는 미국으로, 약 100만 개의 계정이 영향을 받았습니다. 남수단이 약 175,000개로 2위를 차지했으며, 스페인(123,000개), 프랑스(105,000개), 영국(98,000개)이 그 뒤를 이었습니다.
유출된 각 이메일 계정당 이름, 사용자 이름, 프로필 사진, 언어, 국가 등 약 5개의 정보가 노출되었으며, 일부 경우에는 사용자의 모든 세부 정보가 유출되었습니다.
유출된 데이터는 어떻게 활용될까?
데이터 브로커들은 수집된 소셜 미디어 데이터를 마케팅 목적을 비롯한 다양한 용도로 제3자에게 판매합니다. 사이버 범죄자들은 유출된 듀오링고 사용자 정보를 악용해 피해자의 실명과 유효한 이메일 주소를 이용한 표적 피싱 공격을 감행할 수 있습니다.
피해자들은 유출된 이름, 듀오링고 학습 진도, 본국 정보 등을 기반으로 맞춤형 피싱 이메일을 받을 수 있습니다. 예를 들어, 할인된 언어 강좌나 학습 중인 언어를 사용하는 국가로의 여행 초대가 포함된 이메일을 받을 수 있습니다.
사이버 범죄자들은 듀오링고를 사칭하여 듀오링고 유료 버전이나 프리미엄 강좌로 위장한 링크를 이메일로 보낼 수도 있습니다. 이러한 링크를 클릭하여 결제 정보를 입력하면 공격자에게 정보가 넘어갈 수 있습니다.
듀오링고 데이터 유출에 대한 대처 방법
웹사이트와 앱 데이터 유출은 주요 기술 기업들이 지속적으로 겪는 문제입니다. 예를 들어 2021년 4월에는 약 5억 명의 LinkedIn 사용자 데이터가 유출되었습니다.
자신의 정보가 유출되었다고 의심된다면, 몇 가지 대처 방안을 시도해볼 수 있습니다. 먼저, HaveIBeenPwned 웹사이트를 방문하여 정보 유출 여부를 확인해볼 수 있습니다. 이 웹사이트는 이미 유출된 듀오링고 데이터가 데이터베이스에 포함되어 있다고 주장합니다.
피싱 공격을 예방하기 위해 이메일을 주의 깊게 확인해야 합니다. 특히 급하게 보이는 이메일은 더욱 주의해야 합니다. 보낸 사람 주소를 확인하고, 의심스러운 링크나 첨부 파일을 클릭하지 않아야 합니다. 또한 바이러스 백신 소프트웨어를 설치하여 피싱 이메일의 악성코드로부터 보호를 강화하는 것이 좋습니다.
사칭 공격에 주의하고 이메일을 통해 사용자 이름이나 비밀번호와 같은 민감한 정보를 공유하지 마십시오. 듀오링고는 이메일로 이러한 정보를 요청하지 않습니다. 또한, 듀오링고 측에서 제공하는 지침을 따르고, 비밀번호를 변경하고, 2단계 인증을 설정하는 것도 좋은 방법입니다.
듀오링고의 사용자 데이터 보호 조치에 대한 신뢰가 부족하거나 자신의 대응 효과에 의문이 든다면, 다른 언어 학습 앱을 고려해 볼 수도 있습니다.
데이터를 보호하고 보안을 강화하세요
데이터 유출은 점차 빈번하게 발생하고 있으며, 유출된 정보는 마케팅에서부터 사이버 공격 시도까지 다양한 목적으로 악용될 수 있습니다. 현재 악의적인 공격자들은 듀오링고 사용자의 실명과 이메일 주소를 포함한 개인 정보에 접근할 수 있습니다.
데이터 유출에 대처하기 위해서는, 잠재적인 유출 및 사칭 시도를 식별하고 피싱 공격에 대처하는 방법 등 사용자들이 사전 조치를 취해야 합니다.