패스트캠퍼스 개인정보 유출 사고가 터졌다. 운영사 데이원컴퍼니가 6월 11일 공지를 통해 이름, 이메일, 전화번호, 암호화된 비밀번호가 유출됐다고 밝혔다.
주소와 직무, 직책 정보를 입력한 회원은 그 정보까지 나갔다. 100만 명이 넘는 회원을 보유한 교육 플랫폼에서 터진 사고다.
나는 패스트캠퍼스를 오래 애용해 온 사람이다. 머신러닝, 딥러닝 공부할 때 오프라인 강의도 들었고, 온라인 강의도 꾸준히 들었다.
첫 회사에서는 팀 전체가 쓸 수 있게 패스트캠퍼스 비즈니스를 직접 신청하기도 했다. 교육업계에서 잠깐 일한 적도 있어서 이 업계가 얼마나 신뢰 기반으로 돌아가는지 잘 안다.
그래서 이번 사고가 더 아프게 느껴진다.
이번엔 패스트캠퍼스다
유출 항목과 침입 경로
데이원컴퍼니 공지에 침입 경로가 나와 있다. 깃허브 서비스의 마스터 계정 키값이 탈취됐고, 이를 통해 5월 9일 처음으로 서비스 침입이 이뤄졌다. 출처
피해를 본 서비스는 패스트캠퍼스, 콜로소, 제로베이스, 마이라이트, 뉴스프레소, 리스픽, 샤이니영어, 워너스픽으로 데이원컴퍼니 산하 브랜드 전체다.
유출된 항목은 이름, 이메일 주소, 전화번호, 암호화된 비밀번호다.
주소와 직무, 직책 정보를 입력한 회원은 해당 정보까지 나갔다. 결제 정보는 플랫폼 내부에 보관하지 않아 유출되지 않았다고 밝혔다.
한 달 동안 몰랐다
5월 9일 첫 침입이 이뤄졌는데 회사가 사고를 인지한 건 6월 8일이다. 한 달 가까이 해커가 시스템 안에 있었다는 뜻이다.
수강생뿐 아니라 강사 피해도 확인됐고, 대기업 사내교육 프로그램으로 패스트캠퍼스를 이용한 직장인들에게도 유출 통지가 발송됐다.
정확한 피해 규모는 지금도 공개하지 않고 있다. 공지 제목은 “개인정보 유출 통지”였다. 대표 명의의 사과문은 이 글을 쓰는 시점까지 없었다.
IT 교육업계에서 규모가 있는 회사에서 개인정보 유출 사고에 대한 대응이 아쉽다는 말을 안 할 수가 없다.
티빙 때랑 원인이 같다
두 사고의 공통점
2주 전 티빙에서도 개인정보 유출 사고가 있었다. 패스트캠퍼스 개인정보 유출과 비교해 보면 원인이 거의 같다.
티빙은 깃허브에 올라간 AWS 키가 탈취됐고, 패스트캠퍼스는 깃허브 마스터 계정 키값이 탈취됐다. 키 관리에 허술했다는 점이 같다.
특별한 해킹 기술이 원인이 아니었다. 그냥 두 사건 다 중요한 키 하나를 제대로 관리하지 못한 게 시발점이 되었다.
패스트캠퍼스 개인정보 유출, 왜 이런 기초적인 실수가 반복될까?
바이브코딩이 낮춘 개발 허들
바이브코딩 시대가 되면서 개발을 잘 몰라도 개발을 하는 사람이 많아졌다. 이제는 AI가 코드를 대신 작성하니까 개발 경험이 없어도 서비스를 만들 수 있다.
하지만 코드 개발은 쉽고 간단해졌어도 보안 인식은 간단히 해결되지 않았다.
Access Key나 Secret Key와 같은 인증 정보를 하드코딩하면 안 된다는 건 개발자들 사이에서 기초 중의 기초다. 만약 그런 개발자가 있다면 크게 혼날 것이다.
그런데 이걸 제대로 알지 못한 채로 AI 도움으로 개발을 하기 시작한 사람들은 이런 인식을 모르는 경우가 많다. 바이브코딩이 개발 진입 장벽을 낮춘 것에 대한 트레이드오프라고 생각한다.
커서가 DB 날린 사건도 같은 맥락
AI 코딩 에이전트 보안에 과도한 권한을 준 사례는 이미 있었다. 커서가 운영 DB를 통째로 날린 사건이 대표적이다. 에이전트가 할 수 있는 권한 범위가 넓고, 그걸 감시하는 안전장치가 없으면 돌이킬 수 없는 결과를 초래한다.
키를 제대로 관리하지 못하는 것도 같다고 본다. 이런 중요한 정보를 어떻게 관리해야 하는지 모른 채 개발을 시작하면, 지금 같은 사고는 시간 문제다.
코워크 권한도 조심해야 하는 이유
클로드 코워크를 쓸 때도 같은 원칙이 적용된다. 코워크에 접근할 수 있는 권한을 줄 때, 인증 정보를 모아놓은 .env 파일이 있는 중요한 폴더까지 읽기, 쓰기 권한을 주면 절대 안 된다.
처음 에이전트에 권한을 설정할 때 작업에 꼭 필요한 폴더만 지정하고, 인증 정보가 있는 중요한 폴더를 접근할 수 없다고 제외 대상에 넣는 게 매우 중요하고 빼먹지 말아야 하는 일이다.
지금 해야 할 것
지금 개인정보가 유출된 서비스를 이용하고 있거나 회원가입이 되어 있다면 바로 해야 할 게 있다.
첫째, 비밀번호를 바꾼다. 같은 아이디와 비밀번호를 쓰는 다른 모든 서비스도 바꿔야 한다.
티빙 때 바꾼 지 얼마 안 됐지만, 그래도 혹시 모르니 또 바꿔야 한다. 이런 게 소비자 입장에선 매우 번거롭다.
둘째, 의심스러운 연락은 한 번 더 확인해야 한다. 이름과 전화번호가 유출된 상태라 해커가 정교한 피싱 문자를 만들기 더 쉬워졌기 때문이다.
개발이 쉬워진 만큼, 보안은 더 어려워졌다
패스트캠퍼스는 내가 오랫동안 사용해온 교육 플랫폼이다. 교육 업계의 특성상 수강생의 정보를 생각보다 많이 가지고 있다. 그런 만큼 개인정보 보안에 대한 관리 책임이 중요하다.
티빙도, 패스트캠퍼스도 특별한 기술이 있는 해킹에 당한 게 아니었다. 그저 중요한 키 하나를 잘못 관리한 게 전부다.
그렇지만 이 단순한 관리 실수가 한 달 사이에 두 번이나 반복됐다는 것은 분명한 문제다. 이는 바이브코딩이 확산되면서 개발은 쉬워졌지만 그만큼 보안 인식은 따라오지 못한다는 것을 의미한다.
이제는 기업 보안 담당자와 개발 관계자라면 당연히 잘 관리되어 있을 법한 내용이 제대로 되어 있는지 확인할 필요가 있다.
FAQs
깃허브에 키값을 올리면 왜 위험한가요?
깃허브 공개 저장소는 누구나 검색할 수 있어요. 키값을 자동으로 스캔하는 봇도 24시간 돌아다니고 있어서, 코드에 키가 포함된 순간 이미 노출됐다고 봐야 해요. 비공개 저장소도 계정이 탈취되면 같은 위험에 처해요.
바이브코딩으로 만든 서비스는 다 보안이 취약한가요?
바이브코딩 자체가 문제라기보다 보안 기초를 배우지 않은 채 빠르게 개발하는 게 문제예요. AI가 코드를 짜줘도 키 관리, 권한 설계, 환경변수 처리는 개발자가 직접 챙겨야 해요. 이 부분만 잘 지켜도 이번 같은 사고는 상당수 막을 수 있어요.
기업 보안 담당자가 지금 당장 해야 할 점검이 있나요?
코드베이스에 API 키나 인증 정보가 하드코딩된 곳이 없는지 확인하는 게 첫 번째예요. AWS Secrets Manager나 환경변수로 분리돼 있는지 점검하고, AI 에이전트에 부여한 접근 권한 범위도 최소화했는지 보는 게 좋아요.
관련 글
