온라인동영상서비스(OTT) 티빙 해킹 사고 당시 공격자가 개인정보가 저장된 데이터베이스(DB) 서버에 직접 접근해 실제 쿼리를 실행한 정황이 확인됐다. 티빙은 사고 직후 AWS 액세스 키를 폐기하고 공격자 사용 자격증명을 교체한 것으로 나타났다.

단순 개인정보 유출을 넘어 핵심 운영 시스템에 대한 침입이 이뤄졌을 가능성을 보여주는 대목이다.

5일 뉴스1이 단독 입수한 티빙 침해사고 신고서에 따르면 티빙은 지난달 30일 오후 6시 1분 DB 서버 CPU 사용률이 100%까지 치솟는 이상 징후를 확인한 뒤 침해사고를 인지했다. 신고서는 국회 과학기술정보방송통신위원회 소속 노종면 더불어민주당 의원실이 한국인터넷진흥원(KISA)으로부터 제출받았다.

신고서에는 "비인가자로 접근 및 쿼리 실행 등 확인됨"이라고 기재됐다. 티빙은 이후 해당 행위를 역추적한 결과 "비인가자에 의해 내부 시스템 및 데이터 접근 시도 확인"이라고 적시했다.

DB 서버는 회원정보와 서비스 이용 정보를 저장·관리하는 핵심 시스템이다. 쿼리는 데이터베이스 내 정보를 조회·수정·삭제하기 위해 실행하는 명령어다. 단순 외부 접속 시도나 비정상 트래픽 발생 수준이 아니라 공격자가 실제 데이터베이스에 접근해 명령을 수행한 정황이 KISA 신고서에 담긴 것이다.

특히 신고서는 이번 사고가 개인정보 유출을 넘어 내부 시스템 침입으로 이어졌을 가능성을 보여준다. 티빙은 사고 발생 직후 비인가 접근을 차단하고 쿼리를 비활성화했다고 밝혔다. 또 관련 행위를 역추적해 내부 시스템과 데이터에 대한 접근 시도를 확인했다고 설명했다.

해킹 사실을 인지하기 전에는 DB 실패 알람과 CPU 사용량 급증 현상이 발생한 것으로 나타났다. 신고서에는 "DB 서버 CPU 100% 발생에 따라 이상행위 등을 확인한 결과 비인가 접근 및 쿼리 실행이 확인됐다"고 적혀 있다.

티빙의 사고 대응 과정도 주목된다. 티빙은 신고서에서 공격자 사용 자격증명을 즉시 비활성화하고 공격에 사용된 것으로 확인된 AWS 액세스 키를 폐기했다고 밝혔다. 또 깃허브(GitHub)에 하드코딩된 자격증명을 제거·교체하고 노출된 키를 삭제한 뒤 새로운 자격증명으로 변경했다고 적었다.

AWS 액세스 키는 클라우드 서버와 저장소, 데이터베이스 등 주요 시스템 접근에 사용되는 인증 정보다. 보안 업계에서는 침해사고 직후 AWS 키 폐기와 자격증명 교체가 동시에 이뤄졌다는 점에 주목하고 있다. 공격자가 인증정보를 확보했거나 인증 체계가 공격 경로로 활용됐을 가능성을 배제할 수 없기 때문이다.

다만 현재 공개된 신고서만으로 실제 침입 경로가 AWS 키 또는 자격증명 유출이었는지 여부는 확인되지 않는다.


신고서에 따르면 사고 발생 시각은 지난달 30일 오후 6시 1분, 사고 인지 시각은 31일 오후 3시 9분이다. 티빙은 6월 1일 오후 3시 8분 KISA에 침해사고를 신고했다.

정보통신망법 시행령은 정보통신서비스 제공자가 침해사고 발생 사실을 알게 된 때부터 24시간 이내에 과학기술정보통신부 또는 KISA에 신고하도록 규정하고 있다. 신고서상 기재 시각 기준으로 티빙은 사고 인지 후 23시간 59분 만에 신고를 접수했다.

신고서에는 피해 IP가 '확인불가'로 기재됐으며 서버 위치는 '클라우드(AWS) 등'으로 적시됐다. 경찰 신고 여부는 신고 당시 기준 '아니오'로 표시됐다.

앞서 티빙은 지난 2일 개인정보를 저장하는 DB에 비인가 접근이 발생해 개인정보 유출 정황을 확인했다고 공지했다. 유출 가능성이 있는 정보는 아이디, 이름, 생년월일, 성별, 전화번호, 이메일 등이다.

최주희 티빙 대표는 지난 3일 사과문을 통해 "이용자가 믿고 맡긴 정보를 지키지 못한 책임은 전적으로 티빙에 있다"며 사과했다.

kxmxs4104@news1.kr