국내 대형 OTT(온라인동영상서비스) 티빙의 해킹 사고가 단순 개인정보 유출을 넘어 클라우드 인프라 제어권 노출 논란으로 번지고 있다. 6일 국회 과학기술정보방송통신위원회 소속 이해민 조국혁신당 의원실을 통해 입수된 '한국인터넷진흥원(KISA) 침해사고 신고서'가 그 근거다. 이번 사안의 핵심은 결국 숫자다. 얼마나 늦었고, 무엇이 뚫렸는지 수치로 정리한다.
핵심 수치: 무엇이 얼마나 문제인가
- 23시간 59분: 티빙이 사고 인지 후 KISA에 신고하기까지 걸린 시간
- 24시간: 현행법상 침해사고 의무 신고 시한 (마감 1분 전 신고)
- 이틀: 대고객 공지가 이뤄지기까지 추가로 지난 기간
- 72시간: 개인정보보호위원회의 이용자 통보 기준 (이 기준은 충족)
- 3가지: 보안 전문가들이 지목한 심각성 요인 수
신고서에 따르면 비인가자가 내부 시스템에 직접 접근해 데이터 조회·수정 명령(쿼리, 데이터베이스에 내리는 실행 지시)을 실행한 정황이 확인됐다. 단순 DB(데이터베이스) 유출이 아니라는 의미다.
비교: 법정 시한 대비 어디에 섰나
규제 기준선과 실제 대응을 견주면 차이가 분명하다.
- 신고 시한 대비: 의무 시한 24시간 중 23시간 59분 사용 / 잔여 1분
- 이용자 통보 대비: 72시간 기준은 충족했으나, 공지는 사고 인지 이틀 뒤
- 법적 처벌 여부: 두 기준 모두 형식상 충족해 처벌 대상은 피한 상태다
즉 수치상으로는 '합법'이지만, 시한을 1분 남긴 신고와 이틀 늦은 공지는 선제적 이용자 보호가 아닌 규제 회피 중심의 소극적 대응이라는 지적이 나온다.
무엇이 뚫렸나: 클라우드 계정 논란의 실체
당초 특정 회원 DB만 유출된 것으로 알려졌으나, 실제로는 티빙의 핵심 인프라인 아마존웹서비스(AWS)의 자격증명(액세스 키)이 노출된 것으로 파악됐다. 원인으로는 개발자 작업 공간인 깃허브(GitHub) 계정 유출과, 소스코드에 자격증명을 암호화 없이 그대로 적어두는 하드코딩 방식이 지목된다.
AWS 액세스 키는 클라우드 내 서버·저장소·DB 전체에 접근하는 권한을 갖는다. 키 1개의 노출이 인프라 전반의 통제권 노출로 직결되는 구조다.
- 노출 범위: 단일 DB → AWS 클라우드 시스템 전반
- 권한 수준: 서버·저장소·DB 전체 접근 가능한 핵심 키
- 잔존 위험: 키 교체 완료, 그러나 우회 침투 경로(백도어) 가능성은 배제 불가
숫자가 말하는 의미
세 가지 수치가 한 방향을 가리킨다. 첫째, 1분은 대응의 적극성보다 시한 관리에 무게가 실렸음을 보여준다. 둘째, 이틀의 공지 지연은 피해 확산 차단 골든타임을 놓쳤다는 신호다. 셋째, 단일 DB가 아닌 AWS 키 전체 노출은 사고의 등급 자체를 바꾼다. 정부가 이를 '중대 사고'로 판단해 민관합동조사단을 꾸린 배경이다. 키는 교체됐지만 구조가 이미 노출된 만큼 정밀 포렌식 조사가 필요한 상황이다.
결론
티빙 해킹, 클라우드 계정 논란의 본질은 'DB 유출'이 아니라 'AWS 액세스 키를 통한 인프라 제어권 노출'이며, 23시간 59분·이틀이라는 수치가 대응 부실을 드러낸다. 실무자라면 다음을 즉시 점검할 만하다.
- 하드코딩 자격증명 제거: 소스코드·깃허브 저장소를 스캔해 평문 키를 모두 환경변수·시크릿 매니저로 이전한다
- 액세스 키 권한 최소화·교체 주기 설정: 전체 권한 키를 역할별로 분리하고 정기 로테이션을 적용한다
- 침해 대응 시나리오 사전 정비: 24시간 신고·72시간 통보 시한을 '마감'이 아닌 '상한선'으로 두고, 인지 즉시 공지하는 절차를 문서화한다