데이원컴퍼니 고객정보 유출…"깃허브 마스터키 탈취"

(서울=뉴스1) 김민수 기자 = 성인교육 플랫폼을 운영하는 데이원컴퍼니에서 고객 개인정보 유출 사고가 발생했다.

데이원컴퍼니는 11일 고객들에게 개인정보 유출 통지문을 보내 이름, 이메일 주소, 전화번호, 암호화된 비밀번호가 유출됐다고 알렸다.

주소와 직무·직책 정보를 입력한 고객은 해당 정보도 함께 유출됐다. 뉴스프레소, 마이라이트, 워너스픽, 샤이니영어 서비스 고객 일부는 택배 메모 정보까지 포함됐을 가능성이 있다.

데이원컴퍼니는 지난 8일 시스템 내 보안 사고 가능성을 인지하고 관련 위협을 차단했다고 설명했다.

현재까지 확인된 침입 경로는 깃허브(GitHub) 계정 키 탈취다. 데이원컴퍼니는 통지문에서 "당사가 사용 중인 GitHub 서비스의 마스터 계정 키값이 불상의 시점에 탈취됐으며, 이를 통해 5월 9일 최초로 당사 서비스에 침입이 이뤄졌다"고 설명했다.

깃허브는 개발자들이 소스코드를 올리고 수정 이력을 관리하는 온라인 저장소다. 문제는 개발 과정에서 쓰는 비밀번호나 인증 토큰, 클라우드 접근키 같은 민감 정보가 코드에 남을 때 생긴다. 이런 정보가 외부에 노출되면 공격자가 정상 권한을 가진 사용자처럼 내부 시스템에 접근할 수 있다.

데이원컴퍼니는 사고와 관련된 서비스의 사용자 계정 키와 주요 권한을 제거하고 재발 방지 조치를 완료했다고 했다. 현재까지 고객 정보가 공개되거나 악용된 정황은 확인되지 않았다고도 덧붙였다.

최근 티빙 개인정보 유출 사고에서도 개발·운영 환경 접근 권한 관리 문제가 쟁점으로 떠올랐다. 티빙 침해사고 신고서에는 공격에 사용된 것으로 확인된 아마존웹서비스(AWS) 액세스 키 폐기, 깃허브에 하드코딩된 자격증명 제거·교체, 클라우드 접근 통제 정책 변경 등의 조치가 담겼다.

소스코드 저장소나 클라우드 접근키가 외부에 노출되면 공격자가 정상 권한을 가진 사용자처럼 내부 시스템에 접근할 수 있다. 데이원컴퍼니 사고 역시 통지문상 깃허브 마스터 계정 키값 탈취가 침입 경로로 적시된 만큼, 개발·운영 권한 관리가 개인정보 유출 사고의 주요 변수로 떠오른 모습이다.

다만 구체적인 유출 규모는 공개하지 않았다. 개인정보보호위원회와 한국인터넷진흥원(KISA) 등 관계기관 신고 여부도 통지문에는 명시되지 않았다.

데이원컴퍼니는 고객들에게 계정 비밀번호 변경을 요청했다. 의심스러운 링크나 연락을 받으면 클릭하거나 개인정보를 입력하지 말고 관할 경찰서나 KISA에 신고해 달라고 당부했다.

kxmxs4104@news1.kr