42만 개 Binance 계정 자격 증명이 최근 발견된, 암호화폐 거래소·금융 서비스·정부 시스템의 로그인 조합 1억 4,900만 건을 담은 보호되지 않은 데이터베이스에서 발견됐다.
사이버보안 연구원 Jeremiah Fowler는 암호화나 비밀번호 보호 없이 접근 가능한 96GB 규모 저장소를 identified 했다.
Fowler의 보고에 따르면, 이 데이터베이스는 기록이 계속 축적되는 동안 한 달이 넘도록 온라인 상태를 유지했다.
Gmail 계정이 4,800만 개 자격 증명으로 가장 큰 비중을 차지했으며, 그 뒤를 1,700만 개 Facebook 로그인 정보가 이었다. 암호화폐 플랫폼은 전체 규모에 비해 상대적으로 적지만 의미 있는 수준으로 노출됐고, 이 중 Binance 계정 42만 개가 주요 거래소 피해분을 차지했다.
What Happened
인포스틸러 악성코드는 거래소 시스템을 직접 해킹한 것이 아니라 감염된 개인 기기에서 자격 증명을 수집했다. 이 악성 소프트웨어는 감염된 시스템에서 눈에 띄지 않게 동작하며, 키 입력과 브라우저에 저장된 비밀번호를 기록한 뒤 공격자가 제어하는 서버로 전송한다.
Fowler는 데이터베이스를 호스팅 제공업체에 reported 했지만, 제거까지 거의 한 달에 걸친 소통이 필요했다.
이 데이터베이스는 도메인과 사용자를 기준으로 효율적인 검색이 가능하도록 역순 호스트 경로 방식으로 도난 자격 증명을 인덱싱하고 있었으며, 이는 조직적인 범죄 인프라를 시사한다.
Google은 이 데이터셋이 새로운 플랫폼 침해가 아니라, 제3자 악성코드에 의해 시간이 지나며 탈취된 자격 증명을 모아놓은 것이라고 확인했다. 구글은 노출된 자격 증명이 발견되면 계정을 잠그고 비밀번호 재설정을 강제하는 자동 보호 조치를 유지하고 있다.
Read also: BitMine Acquires 40,000 ETH In Largest 2026 Purchase After Share Expansion
Crypto Industry Impact
이번 노출은 전체 유출 규모에 비해 암호화폐 이용자에게 불균형적으로 큰 영향을 미친다. Binance 계정은 전체 유출 자격 증명의 0.28%에 불과하지만, 암호화폐 보유 자산은 전통 금융 서비스와 달리 사기 보호나 거래 취소가 어려워 영구 손실 위험이 존재한다.
Binance 최고보안책임자(CSO) Jimmy Su는 2025년 3월, 거래소 시스템 침해보다 악성코드 감염으로 인한 사용자 자격 증명 유출 탐지가 증가하고 있다며 인포스틸러 위협에 대해 addressed 한 바 있다. 거래소는 다크웹 소스를 모니터링하며, 영향을 받은 계정에 대해 비밀번호 재설정을 시행한다.
보안 연구자들은 인포스틸러 악성코드 인프라 임대 비용이 월 200~300달러 수준에 불과해, 자격 증명 탈취 작전을 시작하는 데 진입 장벽이 매우 낮다고 추정한다. Recorded Future 분석가 Allan Liska는 범죄자들이 일반적인 자동차 할부금보다 낮은 구독료로 매달 수십만 개의 신규 자격 증명에 접근할 수 있다고 지적했다.
이 데이터베이스에는 암호화폐 지갑, 트레이딩 계정, 은행 서비스뿐 아니라 소셜 미디어와 스트리밍 플랫폼 계정 자격 증명도 포함돼 있었다. 여러 국가의 정부 이메일 도메인이 샘플에서 발견되면서, 표적 피싱 및 시스템 침투 시도에 대한 우려가 제기된다.
Read next: UK Banks Block 40% of Crypto Exchange Payments, Industry Survey Finds