내 클라우드 계정이 통째로 털렸다? 2026년 최악의 해킹 수법

 

회사 다니면서 구글 드라이브나 드롭박스 같은 클라우드 서비스 하나쯤은 다 쓰잖아요. 업무 파일 올려두고, 사진 백업하고, 팀원들이랑 문서 공유하고. 근데 솔직히 "내 클라우드 계정이 해킹당할 수도 있다"는 생각, 해본 적 있으세요? 아마 대부분 "설마 나까지 하겠어"라고 생각할 거예요. 저도 그랬거든요.

근데 최근에 PCPJack이라는 진짜 무서운 해킹 도구가 발견됐어요. 보안 연구 기관인 SentinelLABS에서 2026년 5월에 공개한 내용인데, 이게 단순한 해킹이 아니라 마치 바이러스처럼 스스로 퍼져나가면서 사람들 계정을 통째로 훔쳐가는 방식이에요. 오늘은 이게 뭔지, 그리고 나는 어떻게 지켜야 하는지 같이 한번 살펴볼게요.

---

PCPJack이 뭔데요? 쉽게 설명해볼게요

PCPJack은 한마디로 "클라우드(인터넷 저장 공간)를 기어다니면서 로그인 정보를 싹 다 훔쳐가는 자동화된 해킹 도구"예요. 워낙 자동으로 움직여서 보안 연구자들이 '웜(worm, 혼자서 네트워크를 타고 퍼져나가는 악성 프로그램)'이라고 부르더라고요.

이 도구가 특이한 게 있어요. 원래 그 서버에서 활동하던 TeamPCP라는 다른 해킹 그룹의 흔적을 일부러 지워버리고 자기가 그 자리를 차지해버려요. 해커들 사이에서도 영역 싸움이 있는 거예요. 진짜로 이게 뭔 드라마도 아니고… 근데 그 피해는 고스란히 일반 사용자한테 넘어오는 거죠.

더 무서운 건 이 도구가 훔쳐가는 정보의 범위예요. 클라우드 서비스 계정은 기본이고, 개발자 도구, 생산성 앱(슬랙, 노션 같은 거), 심지어 금융 서비스 계정까지 싹 다 긁어가요. 비밀번호 하나만 털리는 게 아니라 내가 쓰는 거의 모든 서비스 정보가 한꺼번에 유출될 수 있는 거예요.

---

근데 이게 나랑 무슨 상관이냐고요?

이런 뉴스 볼 때마다 "나는 해커가 노릴 만한 사람도 아닌데" 싶잖아요. 사실 저도 처음엔 그렇게 생각했어요. 근데 이 해킹 방식을 자세히 보면 생각이 달라져요.

PCPJack은 특정 사람을 콕 집어서 노리는 게 아니에요. 보안이 허술하게 열려 있는 서버나 계정을 자동으로 찾아다니면서 무차별적으로 털어가요. 마치 아파트 복도를 돌아다니면서 문 안 잠근 집 찾는 것처럼요. 특별한 사람이 타깃이 아니라, 잠금이 약한 사람이 타깃인 거예요.

그리고 요즘 프리랜서나 스타트업 직원, 심지어 집에서 부업하는 분들도 AWS나 구글 클라우드 같은 서비스 많이 쓰잖아요. 회사 계정이 아니라 개인 계정으로 클라우드 쓰는 분들은 특히 더 취약할 수 있어요. 회사는 IT팀이 있어서 관리라도 해주지, 개인은 그런 거 없으니까요.

---

실제로 이렇게 당할 수 있어요 — 시나리오로 보면 더 무섭거든요

예를 들어볼게요. 재택근무하는 직장인 A씨가 있어요. 회사 자료를 AWS S3(아마존 클라우드 저장 서비스)에 올려두고 작업을 해요. 어느 날 설정을 바꾸다가 실수로 외부에서 접근 가능한 상태로 열어놨어요. 이런 상태를 "퍼블릭으로 노출됐다"고 하는데, 본인은 잘 몰라요.

PCPJack은 이렇게 노출된 서버를 자동으로 스캔(훑어보는 것)해서 찾아내요. 찾아내면 바로 침투해서 저장된 설정 파일, 환경 변수(앱이 실행될 때 쓰는 비밀 정보들), API 키(서비스에 접근하는 디지털 열쇠 같은 것) 같은 걸 싹 다 가져가요. A씨는 아무것도 모르는 채로요.

그 정보로 해커는 A씨의 슬랙 계정에 접근하고, 동료들한테 이상한 링크를 보내거나, 회사 내부 문서를 빼가거나, 심하면 A씨 이름으로 금융 거래를 시도할 수도 있어요. A씨가 한 실수는 딱 하나인데, 피해는 눈덩이처럼 불어나는 거예요.

---

그래서 어떻게 하면 되냐고요? 지금 바로 할 수 있는 것들

1. 쓰는 클라우드 서비스 접근 권한 한번만 확인해봐요

구글 드라이브면 공유 설정에서 "링크 있는 모든 사용자"로 돼 있는 파일이 없는지 확인해요. 드롭박스나 원드라이브도 마찬가지예요. 굳이 공유 안 해도 되는 파일은 "나만 볼 수 있음"으로 바꿔놓는 게 제일 안전해요.

2. 비밀번호 재사용은 진짜 위험해요

클라우드 서비스 비밀번호랑 이메일 비밀번호, 은행 비밀번호가 다 같은 분 꼭 지금 바꾸세요. 하나가 뚫리면 다 뚫리거든요. 귀찮더라도 서비스마다 다른 비밀번호 쓰는 게 맞아요. 기억하기 어려우면 비밀번호 관리 앱(1Password, 비트워든 같은 것)을 쓰는 게 훨씬 편해요.

3. 2단계 인증(2FA) 무조건 켜두세요

2단계 인증은 비밀번호 입력하고 나서 핸드폰으로 한 번 더 인증하는 방식이에요. 설정 방법이 복잡하지 않아요. 구글, 네이버, 카카오, AWS 다 지원하니까 지금 당장 설정해두는 게 좋아요. 혹시 비밀번호가 털려도 이게 있으면 로그인을 막을 수 있거든요.

4. API 키나 비밀 정보를 파일에 그냥 저장하지 마세요

이건 개발자분들이나 클라우드를 직접 다루는 분들한테 해당되는 얘기인데요. 비밀번호나 API 키(디지털 열쇠)를 텍스트 파일에 그냥 저장해두거나 깃허브(코드 공유 사이트)에 올리면 PCPJack 같은 도구에 바로 털려요. 환경 변수나 전용 보안 도구(AWS Secrets Manager 같은 것)를 써야 해요.

---

자주 묻는 질문 (FAQ)

Q: 저는 개인 클라우드만 쓰는데 저도 위험한가요?

A: 네, 개인 사용자도 안전하지 않아요. PCPJack처럼 자동으로 퍼지는 해킹 도구는 기업 서버만 노리는 게 아니라 보안이 약한 모든 계정을 무차별적으로 찾아다녀요. 구글 드라이브, 드롭박스, iCloud 등 개인 클라우드 서비스도 2단계 인증을 켜두고 공유 설정을 정기적으로 점검하는 게 좋아요.

Q: 내 계정이 이미 해킹당한 건지 어떻게 알 수 있어요?

A: 몇 가지 징후를 확인해보세요. 내가 보내지 않은 이메일이나 메시지가 발송됐거나, 로그인 기록에 모르는 기기나 장소가 찍혀 있거나, 갑자기 비밀번호가 바뀌어서 로그인이 안 되는 경우예요. 구글이나 네이버는 계정 보안 설정에서 '최근 로그인 활동'을 확인할 수 있어요. 그리고 haveibeenpwned.com 같은 사이트에서 내 이메일 주소가 유출된 적 있는지 무료로 확인해볼 수 있어요.

Q: 2단계 인증 설정하면 불편하지 않나요? 매번 인증해야 하나요?

A: 처음엔 조금 번거롭게 느껴질 수 있는데, 익숙해지면 별로 불편하지 않아요. 대부분의 서비스가 "이 기기는 신뢰할 수 있음"으로 등록하면 자주 쓰는 내 폰이나 컴퓨터에서는 매번 인증 안 해도 되거든요. 새 기기나 새 장소에서 로그인할 때만 인증하면 되는 거예요. 보안 효과 대비 불편함은 정말 작아요.

---

마무리하면서 하고 싶은 말

사실 이런 보안 뉴스 접하면 "나는 IT 전문가도 아니고 어떻게 하겠어" 싶어서 그냥 덮어버리는 경우가 많잖아요. 근데 PCPJack처럼 자동으로 퍼지는 해킹 도구는 전문 지식이 없어도, 유명인이 아니어도 누구나 피해자가 될 수 있어요.

오늘 알려드린 것들 중에서 딱 하나만 실천한다면 2단계 인증 켜기를 추천드려요. 5분도 안 걸리는 설정인데, 해킹 시도의 대부분을 막아주는 가장 강력한 방어막이에요. 내 계정, 내 정보는 내가 지켜야 하는 시대예요. 오늘 한 번만 신경 써줘요, 진짜로요.

 

원문 보기

PCPJack | Cloud Worm Evicts TeamPCP and Steals Credentials at Scale