티빙 개인정보 유출, 깃허브에 올린 AWS 키 하나가 시작이었다

티빙 개인정보 유출 사고가 터졌다. 유출된 항목은 이름, 생년월일, 전화번호, 이메일에 온라인 주민번호로 불리는 CI까지다. 5월 MAU 882만 명을 기록하며 성장 정점을 찍던 국내 대표 OTT가 해킹으로 회원 정보를 통째로 내줬다.

나도 피해자다. 티빙을 쓴 지 딱 일주일 됐을 때 유출 통보를 받았다. 가입하자마자 정보를 털린 셈인데, 찜찜한 마음에 사고 경위를 직접 찾아봤다. 그랬더니 정교한 해킹 기술 같은 건 없었다. 깃허브에 올라간 AWS 키 하나가 전부였다.

정확히 어떻게 뚫렸나

KISA 신고서가 밝힌 침입 경로

KISA(한국인터넷진흥원)에 제출된 신고서에 침입 경로가 구체적으로 나와 있다. 해커는 깃허브 저장소에 하드코딩된 AWS 액세스 키를 가져다 썼다. AWS 키란 클라우드 서버와 DB 같은 핵심 자원에 접근할 수 있는 인증 정보인데, 이걸 코드에 그대로 넣어서 깃허브에 올려둔 거다.

해커는 그 키로 티빙 DB 서버에 직접 접속해서 SQL 쿼리를 실행했다. 즉 조회, 수정, 삭제 명령을 자유롭게 날릴 수 있는 상태였다. 사고 이후 티빙은 AWS 키를 즉시 폐기하고 깃허브 자격증명도 교체했다.

5월 30일 이상 징후부터 KISA 신고까지

타임라인도 공개됐다. 5월 30일 오후 6시 1분, DB 서버 CPU 사용률이 100%까지 치솟으면서 DB 실패 알람이 울렸다. 이상 징후를 감지한 건 그때였고, 비인가 접근을 확인한 뒤 즉시 차단에 나섰다.

그런데 KISA에 신고한 건 5월 31일 오후 3시 8분이었다. 이상 징후 발생 후 23시간 59분이 지난 시점으로, 정보통신망법상 24시간 이내 신고 의무를 아슬아슬하게 맞췄다.

티빙 개인정보 유출, CI까지 유출된게 왜 심각한가

CI란 무엇인가

CI는 연계정보(Connecting Information)의 약자다. 주민등록번호를 일방향 암호화해서 만든 온라인 고유 식별값으로, 한 번 생성되면 바꿀 수 없다. 여러 서비스에서 같은 사람인지 확인할 때 쓰이기 때문에 ‘온라인 주민번호’라고도 부른다.

중요한 건 이름이나 전화번호는 바꿀 수 있지만, CI는 못 바꾼다는 점이다. 그래서 한번 유출된 CI는 공격자가 계속 활용할 수 있다.

실제 악용 시나리오

이번에 이름, 생년월일, 전화번호, CI가 모두 유출됐다. 이 조합이면 공격자가 정교한 피싱 문자를 꾸미기 어렵지 않다. “티빙 유출 피해 보상 안내”라는 문자에 이름과 생년월일까지 정확히 들어가 있으면 사칭 여부를 가려내기 쉽지 않다.

더 큰 문제는 CI를 이용해 본인 인증을 우회하거나 계정 복구 절차의 허점을 파고들 수 있다는 점이다. 티빙과 통합 로그인이 연동된 CJ ONE까지 피해가 번질 가능성도 제기된다. 비밀번호를 바꿔도 이 위험은 그대로다. CI 자체는 재설정이 안 되기 때문이다.

최근에도 SKT 유심 해킹, 쿠팡 개인정보 유출 사고가 이어졌다. 이름, 전화번호 정도야 이미 어딘가에서 돌아다니고 있다고 봐야 한다. 거기에 CI까지 더해지면 공격자가 조합할 수 있는 정보가 훨씬 정밀해진다.

보안 사고는 사소한 실수에서 나온다

깃허브 하드코딩이 왜 위험한가

코드를 짜다 보면 테스트 편의상 API 키나 인증 정보를 코드에 직접 넣는 경우가 생긴다. 문제는 그게 깃허브 같은 공개 저장소에 올라가는 순간이다. 깃허브는 전 세계에서 검색되고, 자격증명을 자동으로 스캔하는 봇도 상시 돌아다닌다.

올바른 방법은 환경변수나 AWS Secrets Manager 같은 별도 저장소에 인증 정보를 보관하는 거다. 코드 안에 키 값을 직접 쓰는 건 개발자 사이에서 절대 하지 말아야 할 기초 중의 기초다.

900만 MAU, 보안 투자는 반대로 줄었다

티빙의 5월 MAU는 882만 명으로, 전월보다 14.4% 늘었다. 국내 주요 OTT 중 두 자릿수 성장률은 티빙이 유일했다. 출처

그런데 같은 기간 보안 투자는 반대로 줄고 있었다. KISA 정보보호 공시에 따르면 정보보호 투자액은 2022년 약 22억 원에서 2025년 약 17억 6천만 원으로 감소했고, IT 인력 대비 정보보호 전담 인력 비중도 2021년 10.2%에서 2025년 5.7%로 낮아졌다. 출처 이용자는 빠르게 늘어나는데 보안 투자는 반대로 줄었으니, 보관하는 개인정보 양과 지키는 능력이 정반대 방향으로 움직인 셈이다.

지금 당장 해야 할 것

비밀번호 변경과 2단계 인증

티빙 비밀번호를 바꾸는 건 기본이다. 여기서 끝이 아니라, 같은 비밀번호를 다른 서비스에도 쓰고 있다면 거기도 전부 바꿔야 한다. 유출된 계정 정보로 다른 서비스 로그인을 시도하는 credential stuffing 공격이 뒤따르는 경우가 많기 때문이다.

추가로 티빙과 CJ ONE 계정에 2단계 인증을 설정해두면, 비밀번호가 노출되더라도 계정 탈취를 한 번 더 막을 수 있다.

의심 연락 대응과 피해 신고

지금부터 몇 달간은 티빙을 사칭한 피싱 문자나 전화에 주의해야 한다. 보상 안내, 본인 확인 요청, 계정 보호 조치 같은 문구가 오면 일단 의심하고, 티빙 공식 앱이나 홈페이지에서 직접 확인하는 게 맞다.

혹시 개인정보 악용이 의심된다면 티빙 고객센터에 피해 접수를 할 수 있고, 개인정보보호위원회 홈페이지에서도 신고가 가능하다.

문이 열려 있으면 누군가는 반드시 들어온다

이번 티빙 해킹은 정교한 사이버 공격이 아니었다. 깃허브에 올라간 AWS 키 하나, 관리되지 않은 자격증명 하나가 출발점이었다. 보안 사고는 대부분 이런 식이다. 거창한 취약점보다 누군가 귀찮아서 넘어간 기초 규칙 하나가 전체를 무너뜨린다.

900만 명의 개인정보를 보관하고 있다면 그만큼의 책임이 따른다. 이용자 입장에서는 어느 서비스도 완전히 믿을 수 없다는 걸 이번 사고가 다시 한번 보여줬다.