깃허브에 방치된 '키' 하나가 부른 참사... 티빙(TVING) DB 장악부터 2차 피싱까지

"단순한 외부 침입이나 우회가 아니었습니다. 해커는 클라우드 권한 키를 쥐고, 회사의 심장인 데이터베이스(DB)에 직접 들어와 명령(쿼리)을 실행했습니다."

 

며칠 전 전해드린 국내 대표 OTT '티빙(TVING)'의 개인정보 유출 사태가 심각한 국면을 맞이하고 있습니다.

 

단순 유출 정황으로 알려졌던 초기 발표와 달리, KISA(한국인터넷진흥원) 신고서를 통해 해커가 DB 서버에 직접 침입해 쿼리를 실행한 사실이 밝혀졌습니다. 엎친 데 덮친 격으로, 불안해하는 고객들의 심리를 노려 "피해 보상을 해주겠다"며 텔레그램 등으로 유인하는 2차 사칭 피싱 사기까지 기승을 부리며 사태가 걷잡을 수 없이 확산하고 있습니다.

 

이번 후속 보도와 공지문들을 통해 드러난 치명적인 보안 맹점과, B2B 기업들이 타산지석으로 삼아야 할 이번 사태의 핵심 포인트 3가지를 집중 분석합니다.

🔑 1. 클라우드 대문의 열쇠, '깃허브(GitHub)'에 방치되다

가장 충격적인 대목은 공격의 '경로'입니다. 티빙은 사고 직후 '공격에 사용된 AWS 액세스 키 폐기'와 '깃허브(GitHub)에 하드코딩된 자격증명 제거 및 교체'를 진행했다고 밝혔습니다.

 

이는 해커가 복잡한 방화벽이나 보안 솔루션을 우회해 뚫은 것이 아니라, 개발자가 소스코드 저장소(깃허브)에 실수로 남겨둔 클라우드 접속 키(AWS Access Key)를 습득하여 정문으로 당당하게 걸어 들어왔을 가능성이 매우 높다는 것을 의미합니다.

 

클라우드 인프라 환경에서 이 '키(Key)' 하나는 곧 시스템 전체를 제어할 수 있는 마스터 권한을 의미합니다. 개발 편의를 위해 소스코드 내에 API 키나 클라우드 자격증명을 하드코딩(Hardcoding)하는 사소한 관행이 기업 전체를 뒤흔드는 보안 재난으로 이어진 것입니다.

💻 2. 단순 유출이 아닌 'DB 직접 침투 및 쿼리 실행'

해당 키를 확보한 해커의 다음 타깃은 회원정보가 담긴 핵심 DB 서버였습니다.

 

신고서에 따르면, 해커는 단순히 외부에서 비정상적인 트래픽을 발생시킨 수준이 아니라 실제 데이터베이스에 접근해 무단으로 쿼리(데이터 조회/수정/삭제 명령)를 실행했습니다. 이 과정에서 DB 서버의 CPU 사용률이 100%까지 치솟는 이상 징후가 발생했고, 티빙은 이를 통해 침해 사고를 뒤늦게 인지했습니다.

 

이로 인해 아이디, 이름, 연락처는 물론 연계식별정보(CI), 중복가입확인정보(DI), 심지어 비밀번호까지 서비스 운영과 관련된 핵심 고객 데이터가 대거 유출 대상에 포함되는 참사가 벌어졌습니다.

🎣 3. 고객 두 번 울리는 '피해 보상 사칭' 2차 피싱 사기

DB 장악의 여파는 곧바로 2차 피해로 이어졌습니다. 티빙이 8일 게재한 '2차 공지문'에 따르면, 현재 티빙을 사칭하여 "보상안이나 피해 구제를 안내해 주겠다"며 전화를 걸거나, 텔레그램·라인 등 익명 채팅 앱으로 유도하는 피싱 사기가 빗발치고 있습니다.

 

해커와 사기 조직은 유출된 이름과 연락처를 기반으로 고객에게 접근하기 때문에, 일반 사용자는 공식 고객센터의 안내로 착각하고 속수무책으로 당하기 쉽습니다. 이에 티빙은 "절대 개인정보나 금전을 직접 요구하지 않으며, 텔레그램 등 별도 채팅 앱으로 안내하지 않는다"며 진화에 나섰지만, 이미 유출된 CI/DI와 비밀번호를 활용한 '크리덴셜 스터핑(다른 사이트 대입 공격)' 등 추가 피해의 불씨는 여전히 남아있습니다.

💡 결론: 가장 기본적인 '자격증명 관리'부터 원점으로

이번 티빙 사태는 고도화된 최신 해킹 기법이 아니라, '개발 단계의 작은 실수(하드코딩)'와 '클라우드 권한 관리의 부재'가 얼마나 참혹한 결과를 낳는지 보여주는 완벽한 실패 사례(Failure Case)입니다.

 

우리 회사의 클라우드 환경과 개발 소스코드 저장소는 과연 안전한가요? 당장 모든 저장소를 스캔하여 노출된 키를 폐기하고, 시크릿 매니저(Secret Manager) 연동 등을 통한 안전한 권한 관리 체계(DevSecOps)를 의무화해야 합니다. 보안의 시작과 끝은 결국 가장 기본적인 '자격증명(Credential) 관리'에 있음을 잊지 말아야 할 것입니다.