최근 국내 대형 온라인 서비스에서 개인정보가 대거 유출되는 사고가 잇따르고 있다. 한 OTT 플랫폼은 개인정보 저장 DB에 비인가 접근이 이뤄져 아이디·이름·생년월일·연락처 등이 외부로 전송됐고, 한 교육 서비스에서도 유사한 형태의 대규모 유출이 발생했다. 두 사고 모두 클라우드 환경의 접근 권한, 즉 인증키(Access Key)가 탈취·악용되면서 시작된 것으로 파악된다.
주목할 점은 공격 방식의 고도화다. 공격자는 단순 수작업을 넘어 AI를 활용해 자격 증명 수집과 침투 과정을 자동화하는 정황도 늘고 있다. 키 하나가 인프라 전체를 여는 열쇠가 되는 만큼, 인증키 탈취가 개인정보 유출로 번지는 흐름을 이해하고 선제적으로 대응해야 한다.
| 단계 | 시점 | 공격 행위 |
|---|---|---|
| 1. 단말 감염 | 초기 | 출처 불명 도구·IDE 확장 설치로 개발자 단말이 인포스틸러에 감염 |
| 2. 자격 증명 수집 | 잠복 | 소스코드·설정 파일에 저장된 Access Key 탐색·수집 (AI 자동화 활용) |
| 3. 키 외부 유출 | 탈취 | 수집한 인증키를 공격자 서버로 전송 |
| 4. 클라우드 무단 접근 | 침투 | 탈취 키 권한으로 자산 조회·DB 접근 (정상 관리 작업과 유사해 탐지 지연) |
| 5. 개인정보 유출 | 피해 발생 | DB의 개인정보 파일을 외부로 대량 전송 |
| 6. 흔적 지우기 | 사후 | 감사 로그 삭제·변조로 포렌식 방해 |
| 시점 | 피해 양상 |
|---|---|
| 직후 | 클라우드 자산 무단 조회, DB·스토리지(S3 버킷 등) 접근 |
| 단기 | 고객 개인정보 대량 유출, 루트계정 키 악용 시 고비용 리소스 어뷰징(수만 달러 청구) |
| 중기 | 유출 정보 기반 스미싱·피싱·크리덴셜 스터핑 등 2차 공격 확산 |
| 장기 | 악성 컨테이너 등으로 지속 잠복, 추가 자격 증명·자금 탈취, 과징금·신뢰 손상 |
예방
피해 후 대응
| 공격 유형 | 결과 |
|---|---|
| 스미싱 | 실명 담은 문자로 악성 앱 설치·금융정보 탈취 |
| 피싱 메일 | 가짜 로그인 페이지로 계정 추가 탈취 |
| 크리덴셜 스터핑 | 재사용 비밀번호로 타 서비스 계정 연쇄 탈취 |
| 보이스피싱 | 보유 정보로 신뢰 형성 후 송금·추가 정보 요구 |