깃허브 자격증명 교체 KISA에 신고... 계정 정보 노출 가능성 시사
통제권 쥔 해커의 비인가 쿼리 실행 정황... 시스템 사전 장악 우려

[보안뉴스 조재호 기자] 티빙(TVING) 개인정보 유출 규모가 1300만명에 이른다는 관측이 나오는 등 파문이 커지는 가운데, 단순 데이터베이스(DB) 접근을 넘어 플랫폼 시스템 전반이 장악 당했을 가능성에 대한 우려도 나온다.



티빙은 침해 사고 인지 후 해커가 사용한 계정 및 인증정보 차단, 아마존웹서비스(AWS) 액세스 키 폐기와 함께 깃허브(GitHub) 자격증명 교체 등의 조치를 했다고 한국인터넷진흥원(KISA)에 신고했다.

이는 티빙 깃허브 접속 계정 정보가 해커에게 탈취 당했거나 무단 노출됐을 가능성을 시사하는 대목이다.

깃허브는 DB 서버처럼 데이터를 저장하는 공간이 아니라, 개발자들이 소스코드를 기록하고 협업하는 플랫폼이다. 티빙 플랫폼의 설계 도면과 향후 청사진 등이 모여있는 공간이다. 시스템 구성과 운영에 필요한 핵심 로직, 각종 내부 제어 권한, 개발 편의를 위해 소스코드에 하드코딩된 시스템 접근 자격증명(시크릿 키) 등이 보관돼 있을 확률이 높다는 우려가 업계에서 제기된다.

이러한 플랫폼 핵심 정보가 노출됐다면 파장은 단순 개인정보 유출 수준을 훌쩍 뛰어넘게 된다.

가장 우려되는 것은 암호화 시스템 무력화다. 소스코드 내부엔 민감 정보를 보호하기 위한 암호화 알고리즘과 키 관리 로직이 포함돼 있다. 공격자가 이 설계도를 손에 넣었다면, 양방향으로 암호화된 데이터를 복호화할 수 있다.

디지털저작권관리(DRM) 침해도 예상되는 위험 요소다. 소스코드를 매개로 DRM을 우회해 핵심 자산인 영상 콘텐츠를 무단 탈취하거나, 결제 시스템 응용프로그램인터페이스(API)를 악용해 직간접적 서비스 마비와 금전적 피해를 일으킬 가능성도 있다.

이번 사고와 관련, DB 서버에서 비인가 쿼리(정보체계 명령)가 실행됐다고 신고했다는 점은 해커가 DB 서버를 공격하기 전 이미 깃허브 소스코드를 통해 시스템 통제권을 쥐고 있었음을 의심케 한다.

익명을 요구한 정보보호 전문가는 “이번 사고의 핵심은 가입자 정보 탈취 자체가 아니라 소스코드 침해 여부에 있다”며 “1300만명의 민감 데이터와 복호화의 열쇠가 될 수 있는 시스템 설계도가 동시에 공격자에 노출됐을 가능성이 있는 만큼, 단지 비밀번호 변경 권고를 넘어 투명한 기술적 해명과 신뢰 회복 조치가 필요하다”고 말했다.

[조재호 기자(zephyr@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>