본문으로 건너뛰기
J
피드

티빙 해킹, 개인정보 유출보다 더 큰 문제는 AWS 액세스 키 노출이었다

security 약 7분
tags
#aws#github#access-key#incident-response#isms
vote
0
댓글
북마크

티빙 해킹 사고가 단순 DB 유출이 아니라 AWS 클라우드 자격증명 관리 실패로 번지는 분위기다. GitHub에 노출된 자격증명, 하드코딩된 액세스 키, 21시간 늦은 이상 징후 인지, 24시간 신고 시한 1분 전 신고까지 보안 운영 전반이 도마 위에 올랐다.

  • 1

    비인가자가 내부 시스템에 접근해 데이터 조회와 수정 쿼리를 실행한 정황이 확인됐다

  • 2

    GitHub 계정 유출과 소스코드 내 하드코딩된 AWS 액세스 키가 주요 원인으로 추정된다

  • 3

    DB 서버 CPU 사용률이 100%까지 치솟았지만 티빙은 21시간 뒤에야 사고를 인지했다

  • 4

    KISA 신고는 침해 인지 후 23시간 59분 만에 이뤄졌고, 이용자 공지는 이틀 뒤에 나왔다

  • 5

    티빙의 정보보호 투자액은 2022년 약 22억 원에서 2024년 약 17억 원으로 줄었다

이건 단순 개인정보 유출보다 클라우드 권한 사고에 가까움

  • 티빙 해킹 사고가 고객 정보 유출을 넘어 내부 시스템 제어권 노출 가능성으로 번지고 있음

    • 국회 과학기술정보방송통신위원회 소속 이해민 의원실이 입수한 한국인터넷진흥원(KISA) 침해사고 신고서 내용이 근거로 제시됨
    • 비인가자가 내부 시스템에 직접 접근해 데이터 조회와 수정 명령, 즉 쿼리를 실행한 정황이 확인됐다고 함

  • 주요 원인으로는 GitHub에 노출된 자격증명과 AWS 핵심 액세스 키 관리 부실이 지목됨

    • 개발 플랫폼인 GitHub 계정이 유출되면서 소스코드 안의 민감 정보가 드러난 것으로 추정됨
    • 특히 자격증명을 암호화하지 않고 문자열 그대로 코드에 적어두는 하드코딩이 문제로 언급됨

⚠️주의

> AWS 액세스 키는 단순 로그인 비밀번호가 아님. 권한 설정에 따라 서버, 저장소, 데이터베이스까지 건드릴 수 있어서 키 하나가 인프라 전체 리스크로 번질 수 있음.

  • 티빙은 사고 직후 해당 키를 교체했지만, 그걸로 끝났다고 보기 어렵다는 지적이 나옴
    • 시스템 구조가 이미 노출됐을 수 있기 때문임
    • 보안 전문가들은 우회 침투 경로, 즉 백도어 가능성까지 고려해 정밀 포렌식 조사가 필요하다고 봄

신고와 공지도 ‘법적 마감 맞추기’처럼 보였다는 비판

  • 티빙은 사고를 인지한 지 23시간 59분 만에 KISA에 신고함

    • 현행법상 침해사고 의무 신고 시한은 24시간 이내임
    • 말 그대로 마감 1분 전에 들어간 셈이라, 빠른 대응이라기보다는 규정 턱걸이로 보일 수밖에 없음

  • 이용자 공지는 더 늦어서 사고 인지 이틀 뒤에야 이뤄짐

    • 개인정보보호위원회의 72시간 이내 통보 기준은 충족해 법적 처벌은 피한 것으로 보임
    • 하지만 대형 플랫폼이라면 피해 확산을 막기 위한 선제 조치가 먼저 아니냐는 비판이 나옴

  • 이 대목이 중요한 이유는 침해사고 대응에서 시간 자체가 보안 조치이기 때문임

    • 사용자는 비밀번호 변경, 결제수단 점검, 피싱 주의 같은 행동을 빨리 해야 함
    • 공지가 늦어질수록 피해자가 스스로 방어할 시간도 줄어듦

더 아픈 지점은 자체 탐지가 아니라 서버 과부하로 알아챘다는 점

  • 신고서에 따르면 해커가 대량의 회원 정보를 조회하면서 DB 서버 CPU 사용률이 100%까지 치솟았음

    • 이상 징후가 발생한 시점은 지난달 30일 오후 6시 1분으로 언급됨
    • 티빙이 이를 인지한 건 21시간 뒤인 다음 날 오후 3시 9분임

  • 보안 전문가들은 이걸 ‘탐지 시스템이 막아낸 사고’로 보기 어렵다고 설명함

    • 대량 데이터 추출로 서버 과부하가 난 뒤에야 사후 확인이 이뤄진 흐름에 가깝다는 것임
    • 월간 활성 이용자수(MAU) 770만 명이 넘는 서비스라면 꽤 뼈아픈 지점임

중요

> CPU 100% 같은 극단적인 증상이 난 뒤 21시간이 지나서야 인지했다면, 로그 기반 이상 탐지와 클라우드 권한 모니터링이 제대로 작동했는지부터 다시 봐야 함.

  • ISMS 인증을 갖고 있었는데도 기본 수칙 누락 의혹이 제기됨
    • 클라우드 관리자 접속 시 스마트폰 2차 인증(OTP) 같은 기본 보호 장치가 현장에서 빠졌다는 지적이 나옴
    • 인증 보유와 실제 운영 보안 수준이 항상 같지 않다는, 매우 현실적인 사례임

보안 투자 축소 얘기까지 나오면서 구조적 문제로 커짐

  • 티빙의 정보보호 투자액은 2022년 약 22억 원에서 2024년 약 17억 원으로 줄었다고 공시됨

    • 2년 연속 감소한 수치임
    • 사고가 난 뒤 보면 비용 절감이 보안 운영 역량 저하로 이어진 것 아니냐는 의심을 피하기 어려움

  • 보안 인력 규모도 논란 포인트임

    • 전담 보안 인력은 내부와 외주를 합쳐 총 7.5명으로 언급됨
    • 최고정보보호책임자(CISO)도 전임 임원이 아니라 겸직 팀장급이라고 보도됨

  • 티빙 측은 정부 합동조사단 조사가 진행 중이라 구체적 확인은 어렵다는 입장을 냄

    • 경위 조사가 끝나면 투명하게 밝히겠다고 설명함
    • 다만 이번 사안은 이미 ‘누가 몇 명 털렸나’보다 ‘클라우드 권한을 어떻게 관리했나’로 초점이 이동한 상태임

기술 맥락

  • AWS 액세스 키가 위험한 이유는 권한 범위가 계정 설정에 따라 매우 커질 수 있기 때문이에요. 단순히 DB 하나 읽는 수준이 아니라, 서버와 저장소, 네트워크 설정까지 접근 가능한 권한이면 사고 반경이 인프라 전체로 커져요.

  • 하드코딩이 특히 나쁜 습관인 이유는 코드 저장소와 자격증명의 생명주기가 엮여버리기 때문이에요. GitHub 계정이나 저장소 권한이 한 번 뚫리면, 코드뿐 아니라 운영 환경으로 들어가는 열쇠까지 같이 노출될 수 있거든요.

  • 이런 사고를 줄이려면 장기 액세스 키를 최소화하고, 필요한 권한만 주는 최소 권한 원칙이 중요해요. 기사에서는 구체적인 권한 정책이 나오진 않지만, 키 노출이 인프라 제어권 논란으로 이어졌다는 점만으로도 권한 범위 관리가 핵심이라는 걸 알 수 있어요.

  • 탐지도 별도 문제예요. CPU가 100%까지 올라간 뒤에야 알아챘다면, API 호출 패턴, 대량 조회, 비정상 리전 접근, 권한 사용 이벤트 같은 신호를 더 빨리 잡았어야 해요. 클라우드 보안은 방화벽 하나보다 로그와 이벤트를 얼마나 빨리 해석하느냐가 중요해요.

  • 사고 대응 시간도 기술 운영의 일부예요. 신고 시한을 맞추는 것과 피해 확산을 줄이는 건 다른 문제라서, 대형 서비스라면 키 폐기, 세션 무효화, 사용자 공지, 포렌식 범위 확정을 거의 동시에 굴릴 수 있는 체계가 필요해요.

이번 건은 ‘비밀번호 유출 조심하자’ 수준이 아니라 클라우드 시대의 권한 관리 실패가 얼마나 크게 터질 수 있는지 보여주는 사례다. 특히 GitHub, AWS 키, 이상 탐지, 사고 대응 시간이 한꺼번에 엮여 있어서 국내 서비스 보안팀이 체크리스트로 삼을 만하다.

prev

이전 기사 (P)

next

다음 기사 (N)

댓글

댓글

댓글을 불러오는 중...

관련 기사

security

EU의 클라우드·AI 주권 법안, 미국 빅테크 의존을 보안 리스크로 보기 시작했다

EU 집행위원회가 클라우드·AI 개발법과 반도체법 2.0을 제안하며 미국 빅테크 의존도를 줄이겠다는 방향을 분명히 했다. 금융, 에너지, 보건 같은 민감 분야에서는 유럽산 하드웨어와 소프트웨어, 역내 통제 조건을 강하게 요구할 전망이다. 미국 클라우드법과 킬 스위치 우려가 배경에 깔려 있어, 단순 산업 보호가 아니라 디지털 주권과 공급망 보안 이슈로 봐야 한다.

security

AI가 취약점 찾는 속도, 월 900건 수준까지 튀었다

에포크 AI가 주요 글로벌 기업과 오픈소스 프로젝트의 CVE 데이터를 분석한 결과, 2026년 들어 고위험 취약점 공개 건수가 급격히 늘었다. 업계는 클로드 미토스 프리뷰 같은 자율형 보안 AI와 대규모 언어 모델 기반 취약점 탐지가 이 흐름을 가속한다고 보고 있다.

security

메타, AI 챗봇 악용으로 인스타그램 계정 2만 건 넘게 탈취됐다고 확인

메타의 인스타그램 계정 복구용 AI 챗봇이 공격자에게 속아 비밀번호 재설정 링크를 잘못 보내는 취약점이 악용됐어. 메타는 최소 2만225명에게 계정 침해 사실을 통지했고, 영향을 받은 계정은 게시물, 다이렉트 메시지, 활동 기록까지 접근 가능했을 수 있어.

security

바이브 코딩, 진짜 무서운 건 코드가 아니라 권한임

AI 에이전트와 바이브 코딩이 업무 자동화와 개발 진입장벽을 낮추고 있지만, 보안 검토 없이 맡기면 인프라 삭제·토큰 유출·개인정보 노출 같은 사고로 바로 이어질 수 있다는 내용이다. 핵심은 AI에게 잘 말하는 게 아니라, 권한 격리·규칙 문서·리뷰·백업으로 구조를 짜는 쪽에 있다.

security

인포트렌드, 중소 보안 현장 겨냥한 AI 분석 서버 3000시리즈 공개

인포트렌드가 컴퓨텍스 2026에서 CCTV 영상분석과 보안 모니터링 같은 실사용 환경을 겨냥한 3000시리즈 서버를 공개했다. VMware 비용 상승 이후 Proxmox 기반 오픈소스 가상화와 자체 플랫폼 EonKube를 앞세워 중소기업이 부담 없이 AI 분석 환경을 만들 수 있게 하겠다는 전략이다.