TVING 대규모 개인정보 유출 사고 분석


보고서 메타데이터 분류: TLP:CLEAR

발행일: 2026-06-09
갱신일: -
심각도: 🔴 Critical
버전: 1.0
출처: 공개 언론 보도, KISA 침해사고 신고서 기반 보도자료, 나무위키, 데이터독 공식 독스


TVING 대규모 개인정보 유출 사고 분석

Cyber Threat Intelligence Report | CJ ENM OTT 플랫폼 DB 직접 침입 사건


목차

#1. Executive Summary
#2. 침해 사고 타임라인
#3. 공격 생명주기 (Attack Lifecycle)
#4. 인디케이터 (IOC / IOA)
#5. 주요 발견 및 취약점
#6. 대응 권고사항
#부록 A — TLP (Traffic Light Protocol)
#부록 B — Datadog으로 할 수 있는 일


1. Executive Summary

핵심 지표

항목
잠재 피해 규모최대 1,000만 명
유출 항목 수11종
탐지까지 소요 시간약 21시간
최초 침입 → 공개 공지4일

사고 개요

2026년 5월 30일 오후 6시경, 신원 미상의 위협 행위자가 국내 최대 OTT 서비스 TVING의 클라우드 인프라(AWS)에 침입하여 개인정보 저장 DB에 직접 접근, 쿼리를 실행하고 파일을 외부로 전송한 사고다.

침입 경로는 GitHub 소스코드 저장소에 하드코딩된 채 노출된 AWS 액세스 키로 추정된다. 단순 데이터 유출을 넘어 핵심 운영 인프라 제어권이 침해되었을 가능성이 있으며, 유출된 CI(연계정보)·DI 등은 2차 피싱·계정 탈취 공격에 즉시 악용될 수 있어 심각성이 높다.

확인된 침해 범위

항목내용
표적 시스템AWS 클라우드 DB 서버
침입 방식자격증명 탈취 → DB 직접 쿼리
데이터 반출확인됨 (파일 외부 전송)
주민번호 유출없음 (미보유)
결제정보 유출없음 (미보유)

조직 대응 현황

항목내용
KISA 신고2026-06-01 (72시간 내)
공격 IP 차단✅ 확인
AWS 키 폐기✅ 확인
GitHub 자격증명 교체✅ 확인
민관합동조사단2026-06-04 구성 (약 10명)

유출된 개인정보 항목

항목암호화 여부위험도
아이디, 이름, 생년월일, 성별❌ 평문🟠 HIGH
CI (연계정보), DI (중복가입확인정보)❌ 평문🔴 CRITICAL
휴대전화번호 (뒷 4자리 암호화)⚠️ 부분🟠 HIGH
이메일 (도메인 제외 암호화)⚠️ 부분🟠 HIGH
환불 계좌번호✅ 암호화🟡 MEDIUM
비밀번호✅ 단방향 암호화🟡 MEDIUM
서비스 이용 관련 정보❓ 미확인🟡 MEDIUM

CI(Connecting Information) 유출의 특수 위험성

CI(연계정보)는 이름, ID, 전화번호 등 단방향 암호화하여 생성한 식별값으로, 서비스 간 동일 사용자를 식별하는 데 사용된다. 원문 복원은 불가능하나, 이미 CI를 보유한 다른 서비스와 데이터를 결합·대조하여 신원을 특정하거나 계정을 연계하는 것이 가능하다.

⚠️ 예상 2차 공격 벡터 이름 + 생년월일 + 전화번호 조합을 이용한 스피어 피싱, 금융기관 사칭 보이스피싱, 타 서비스 크리덴셜 스터핑 공격이 향후 수개월간 지속될 것으로 예상된다.


2. 침해 사고 타임라인

2026-05-30 18:01  ●  최초 DB 침입
2026-05-31 15:09  ●  TVING 내부 탐지 (~21시간 후)
2026-06-01 15:08  ●  KISA 신고
2026-06-02        ●  긴급 보안 조치
2026-06-03        ●  피해자 공개 공지
2026-06-04        ●  민관합동조사단 구성

🔴 2026-05-30 18:01 — 최초 DB 침입 발생

DB 서버 CPU 사용률 100% 급증 이상 징후 발생. 공격자가 AWS 액세스 키로 클라우드 인프라 접근 후 개인정보 DB 서버에 직접 접속, 쿼리 실행 개시.

🔴 2026-05-31 15:09 — TVING 내부 유출 확인

비인가 접근 및 쿼리 실행 정황 내부 확인. DB 서버 CPU 100% 발생에 따른 이상행위 조사 과정에서 발견. 탐지까지 약 21시간 소요.

🟠 2026-06-01 15:08 — KISA 침해사고 신고

과학기술정보통신부 및 한국인터넷진흥원(KISA)에 침해사고 신고. 개인정보보호법 제34조 72시간 이내 신고 의무 이행.

🟠 2026-06-02 — 긴급 보안 조치 시행

🔵 2026-06-03 — 피해자 공개 공지

TVING 앱·홈페이지에 개인정보 유출 사실 통지 게시. 11개 유출 항목 명시, 피해 접수 전담 고객센터 운영 개시.

✅ 2026-06-04 — 민관합동조사단 구성

과기정통부·KISA 주도, 디지털 포렌식·클라우드 전문가 포함 약 10명 규모. 정부가 '중대 사고'로 공식 판단하고 사고 원인 및 피해 범위 심층 조사 착수.


3. 공격 생명주기 (Attack Lifecycle)

MITRE ATT&CK 프레임워크 기반 분석
🔍 정찰 → 🔑 초기 접근 → ☁️ 권한 확보 → 🗄️ DB 접근 → 📤 데이터 반출


🔍 단계 1 — 정찰 (Reconnaissance)

추정 방식: GitHub 공개(또는 비공개) 저장소 내 하드코딩된 AWS 자격증명 탐색. 공격자는 GitHub 코드 검색, truffleHog·Gitleaks 류의 자동화 스캔 도구를 사용하여 소스코드에 노출된 클라우드 키를 식별했을 가능성이 높다.

사고 증거: TVING이 대응 과정에서 GitHub에 하드코딩된 자격증명을 삭제·교체한 사실이 KISA 신고서에 명시됨으로써, GitHub를 통한 자격증명 노출이 공격 경로로 추정된다.

MITRE ATT&CK 매핑:


🔑 단계 2 — 초기 접근 (Initial Access)

추정 방식: 탈취한 AWS 액세스 키(Access Key ID + Secret Access Key)를 사용하여 TVING의 AWS 계정에 인증. 유효한 자격증명을 사용하므로 WAF·IDS 등 네트워크 기반 탐지를 우회 가능.

사고 증거: TVING이 사고 직후 AWS 액세스 키를 즉시 폐기한 사실이 확인됨. 자격증명이 실제 사용되어 인프라 접근이 이루어진 것으로 판단.

MITRE ATT&CK 매핑:


☁️ 단계 3 — 권한 확보 (Privilege Escalation / Lateral Movement)

추정 방식: AWS IAM 역할 또는 정책을 통해 DB 접근 권한을 확보. AWS 액세스 키가 과도한 권한(overprivileged)으로 설정되어 클라우드 내 DB 서버에 직접 접근이 가능한 상태였던 것으로 추정.

지적된 취약점: 최소 권한 원칙(Principle of Least Privilege) 미준수, IAM 역할 분리 부재 추정. 클라우드 접근통제 정책이 사고 이후 변경된 사실이 이를 방증.

MITRE ATT&CK 매핑:


🗄️ 단계 4 — DB 직접 접근 (Collection)

확인된 사실: KISA 신고서에 "비인가 접근 및 쿼리 실행"이 명시됨. 공격자가 DB 서버에 직접 접속하여 개인정보 조회 쿼리(SELECT 등)를 실행하였으며, 이로 인해 CPU 사용률이 100%에 도달하는 이상 징후가 발생.

의미: 단순 스토리지 다운로드가 아닌 DB 레이어에 직접 접근했다는 것은 인프라 구조에 대한 사전 이해 또는 충분한 탐색 시간이 있었음을 시사한다.

MITRE ATT&CK 매핑:


📤 단계 5 — 데이터 반출 (Exfiltration)

확인된 사실: 개인정보 파일이 외부로 전송된 정황이 확인됨. 반출 경로(C2 서버 IP 등)는 공개되지 않았으나, TVING이 공격자 IP 접근을 차단한 사실로 볼 때 외부 서버로의 파일 전송이 이루어진 것으로 판단.

우려 사항: 유출된 피해자 규모가 공식 미발표 상태. 보안업계는 최대 1,000만 명 규모로 추정.

MITRE ATT&CK 매핑:


4. 인디케이터 (IOC / IOA)

구체적인 해시·IP 값은 현재 비공개 상태이다. 하단은 공개된 신고서 및 보도 기반으로 추출한 **행동·환경 인디케이터(Behavioral IOA/IOC)**이며, 정황 신뢰도만 표현한다, 향후 최종 보고서가 발행되면 갱신하도록 한다.

유형인디케이터 / 설명신뢰도출처
CREDENTIALAWS 액세스 키 GitHub 하드코딩 노출AKIA… 패턴의 키가 소스코드 내 평문 저장🔴 HIGH (공식 확인)KISA 신고서
BEHAVIORDB 서버 CPU 100% 급증 — 단시간 내 대량 SELECT 쿼리 실행으로 인한 급격한 부하🔴 HIGH (공식 확인)KISA 신고서
BEHAVIOR업무시간 외 DB 비인가 쿼리 실행 — 오후 6시 1분, 업무시간 이후 비정상 접근🟠 HIGHKISA 신고서
NETWORK공격자 출처 IP (미공개) — TVING이 IP 기반 접근 차단 조치 시행, 단일 또는 복수 IP 추정🟡 MEDIUM대응 조치 기반
CREDENTIALGitHub 자격증명 노출 (하드코딩) — 소스코드 내 평문 저장된 서비스 계정 자격증명, 교체 완료🔴 HIGH (공식 확인)KISA 신고서
ARTIFACT개인정보 파일 외부 전송 로그 — DB에서 추출된 파일이 외부 서버로 전송된 정황, 반출 대상 IP/도메인 미공개🟠 MEDIUM-HIGH공식 발표
BEHAVIOR클라우드 접근 후 DB 직접 접속 — API가 아닌 DB 레이어 직접 쿼리, 인프라 구조 사전 파악 또는 광범위한 탐색 시사🟠 HIGHKISA 신고서
NETWORK크리덴셜 스터핑 선행 공격 (2025-12) — 2025년 12월 TVING 공지된 스터핑 공격과의 연계 가능성⚪ LOW-MED2025.12 TVING 공지
선행 공격 연계 가능성 2025년 12월, TVING은 크리덴셜 스터핑 공격을 탐지하여 차단 조치를 취한 바 있다. 해당 시점에 확보된 계정 정보가 이번 사고의 정찰 단계에서 활용되었을 가능성을 배제할 수 없다.


5. 주요 발견 및 취약점

🔴 [CRITICAL] 소스코드 내 클라우드 자격증명 하드코딩

GitHub 저장소 소스코드에 AWS 액세스 키가 AKIA... 형태로 평문 저장되어 있었음이 공식 확인됐다. AWS 액세스 키는 클라우드 내 서버·스토리지·DB 전체에 접근 가능한 마스터 키에 해당한다. 개발 편의를 위한 하드코딩 관행이 이번 사고의 근본 원인으로 지목되며, 이는 기초적인 보안 원칙인 시크릿 관리(Secret Management) 정책의 부재를 의미한다. AWS Secrets Manager 또는 환경 변수를 통한 키 관리가 이루어지지 않았음을 시사한다.


🔴 [CRITICAL] 침입 탐지 실패 — 약 21시간 미감지

최초 DB 침입(5/30 18:01)부터 내부 탐지(5/31 15:09)까지 약 21시간이 경과하였다. DB 서버 CPU 100% 도달이라는 명확한 이상 징후가 발생했음에도 실시간 탐지·대응 체계가 작동하지 않았다. 이는 SIEM 부재 또는 알람 임계값 미설정, SOC 모니터링 공백을 시사한다.

또한 TVING의 정보보호 투자액이 2022년 약 22억 원에서 2024년 약 17억 원으로 2년 연속 감소한 점이 구조적 배경으로 지목된다.


🟠 [HIGH] 과도한 IAM 권한 부여 (Overprivileged Cloud Account)

탈취된 AWS 액세스 키가 DB 서버에 직접 접근·쿼리 실행이 가능한 수준의 권한을 보유하고 있었다. 최소 권한 원칙(Principle of Least Privilege)이 준수되었다면, 해당 키를 탈취하더라도 DB 접근 자체가 불가능해야 한다. 클라우드 접근통제 정책이 사고 이후 변경된 사실이 이를 방증하며, IAM 역할 분리·세분화 부재가 피해를 확대시킨 주요 요인이다.


🟠 [HIGH] DB 접근 모니터링 정책 미비

사고 후 "DB 접속에 대한 모니터링 강화"가 대응 조치로 언급되었다는 것은 사전에 DB 레이어에 대한 접근 감사(Audit Logging) 및 이상 쿼리 탐지가 충분하지 않았음을 의미한다. 특히 대량 데이터 조회 쿼리, 비인가 IP 기반 접속 등에 대한 실시간 알람 체계가 없었던 것으로 판단된다.


🟡 [MEDIUM] CI·DI 등 고위험 식별자 평문 저장

연계정보(CI)와 중복가입확인정보(DI)가 암호화 없이 평문 상태로 저장되어 있었다. CI는 여러 서비스 간 동일 이용자를 연계 식별하는 데 활용 가능하므로, 데이터 결합 공격의 핵심 벡터로 사용될 수 있다. 고위험 식별자에 대한 추가 암호화 또는 접근 통제 레이어가 요구된다.


6. 대응 권고사항

이용자 권고

즉시 (24-48h)

① TVING 및 동일 계정 사용 서비스 비밀번호 즉시 변경

비밀번호 단방향 암호화 여부와 관계없이, 동일 ID·비밀번호를 타 서비스에서 사용하는 경우 크리덴셜 스터핑 위험에 즉시 노출된다.

② 출처 불명 전화·문자·이메일 응대 금지 (피싱 주의)

이름·생년월일·전화번호가 결합 유출되어 정교한 스피어 피싱이 가능하다. 금융기관·통신사 사칭 연락 시 직접 공식 번호로 확인 후 대응할 것.


조직 권고 (동종 OTT·클라우드 운영사)

즉시 (24-48h)

① 전체 GitHub 저장소 시크릿 스캔 즉시 실행

Gitleaks, truffleHog, AWS의 자체 GitHub 통합 시크릿 스캔 등을 즉시 실행하여 노출된 자격증명을 파악하고 전수 교체한다. AWS 자격증명은 IAM에서 로테이션 주기 설정 필수.


단기 (1-4주)

② IAM 최소 권한 원칙 재점검 및 DB 접근 역할 분리

서비스 계정별 IAM 정책을 재검토하여 DB 접근 권한을 최소화한다. 애플리케이션 서버와 DB 서버 간 접근에는 IAM Role 기반 인증(IRSA/인스턴스 프로파일)을 적용하고 액세스 키 발급 자체를 폐지한다.

③ DB 감사 로그(Audit Log) 활성화 및 이상 쿼리 탐지 알람 설정

AWS RDS CloudTrail 통합 또는 DB 엔진 레벨 감사 로그를 활성화한다. 비인가 IP, 업무시간 외 대량 SELECT, DDL 실행에 대한 실시간 알람을 SIEM에 연동한다.


중장기 (1-3개월)

④ 고위험 개인정보(CI·DI·계좌번호) 컬럼 레벨 암호화 적용

DB 레이어에서 CI·DI를 포함한 민감 컬럼에 대해 컬럼 레벨 암호화(CLE) 또는 토크나이제이션을 적용한다. 키 관리는 AWS KMS 등 별도 시스템으로 분리 운영한다.

⑤ 정보보호 투자 복원 및 전담 보안 거버넌스 체계 재정비

정보보호 투자액이 2년 연속 감소한 구조적 문제를 해결해야 한다. CISO 직위 독립, SOC 24/7 모니터링 체계 구축, 정기 침투테스트·레드팀 훈련을 연간 계획에 포함시킨다.


부록 A — TLP (Traffic Light Protocol)

TLP는 정보 공유 범위를 색깔로 표시하는 국제 표준 체계다. 미국 CISA와 FIRST(보안 사고 대응 포럼)가 관리하며, 보안 커뮤니티에서 광범위하게 사용된다.

등급공유 범위설명
🔴 TLP:RED수신자 본인만구두 전달만 허용, 문서 전달 금지. 유출 시 심각한 피해가 예상되는 최고 민감 정보
🟠 TLP:AMBER조직 내부 + 직접 관련된 고객·파트너Need-to-know 원칙 적용. TLP:AMBER+STRICT는 자기 조직 내부로만 더 엄격히 제한
🟢 TLP:GREEN특정 커뮤니티 내 자유 공유인터넷 공개 게시 불가. ISAC 등 신뢰된 커뮤니티 내 배포용
TLP:WHITE / TLP:CLEAR제한 없음 — 누구에게나 공개2022년 TLP v2.0부터 WHITE → CLEAR로 명칭 변경. 두 표기 모두 통용됨
본 보고서 적용 등급: TLP:CLEAR 언론 보도 및 공개된 KISA 신고서 기반 자료로 구성되어 있으므로 배포 제한이 없다.


참고 및 출처

공개된 언론 보도, KISA 신고서 기반 보도자료 등 공개 출처를 기반으로 작성되었으며, 확인되지 않은 정보는 "추정" 또는 "가능성"으로 명시하였다.


부록 B — Datadog으로 할 수 있는 일

이 섹션의 목적 TVING 사고의 공격 생명주기와 발견된 취약점을 기준으로, Datadog을 운영 중인 조직이 동일 유형의 공격을 어떻게 탐지·예방·대응할 수 있는지 기능과 플레이북을 함께 정리한다.


기능 맵핑 — 이 사고의 어느 단계를 커버하는가

공격 단계관련 Datadog 기능커버 여부
정찰 — GitHub 시크릿 노출SAST/Secret Scanning✅ 코드 내 시크릿 스캔
초기 접근 — AWS 키 탈취 사용Cloud Security Management (CSM)✅ 비정상 IAM 활동 탐지
권한 확보 — Overprivileged IAMMisconfigurations(CSPM/CIEM)✅ IAM 과도 권한 설정 감지
DB 직접 접근 — 쿼리 실행Database Monitoring (DBM)✅ 비정상 쿼리 패턴 탐지
DB CPU 100% 이상 징후Infrastructure Monitoring + Alerts✅ CPU 임계값 알람
데이터 반출 — 외부 파일 전송Cloud SIEM✅ 비정상 네트워크 트래픽 탐지
사고 대응 — 포렌식Log Management + Audit Trail✅ 전체 로그 보존 및 검색

기능별 상세 설명

1. Cloud Security Management (CSM)

📎 공식 문서: cloud_security_management · cloud-siem

AWS·GCP·Azure 클라우드 환경 전반의 위협을 실시간 탐지한다.

TVING 사고 적용 시나리오 AKIA… 패턴의 액세스 키가 평소 사용하지 않던 리전(예: us-east-1)에서 DB 접근 API를 호출하는 순간 CSM Threats가 탐지 → PagerDuty·Slack으로 즉시 알람 발송


2. Database Monitoring (DBM)

📎 공식 문서: database_monitoring

DB 레이어의 모든 쿼리를 수집·분석한다.

TVING 사고 적용 시나리오 공격자가 대량 SELECT 쿼리를 실행하는 순간 DBM이 "분당 쿼리 수 N배 급증 + 신규 접속 IP" 복합 조건으로 알람 → 탐지까지 21시간이 아닌 수 분 내 감지 가능


3. Cloud SIEM

📎 공식 문서: cloud_siem · AWS 설정 가이드

로그 기반 위협 탐지 및 조사 플랫폼이다.

TVING 사고 적용 시나리오 1) 신규 IP에서 AWS 콘솔 로그인2) RDS 접근 API 다수 호출3) 대용량 데이터 외부 전송 3개 이벤트가 연속 발생 시 단일 Security Signal로 묶어 알람


4. Software Composition Analysis (SCA) / Static Analysis (SAST) / Secret Scanning

📎 공식 문서: code_security · Secret Scanning · SAST 코드와 의존성의 취약점 및 시크릿 노출을 탐지한다.

TVING 사고 적용 시나리오 개발자가 AWS 키를 코드에 포함한 채 PR을 올리는 순간 → Datadog SAST가 PR 코멘트로 경고 + 머지 블록 → 키가 GitHub에 노출되는 일 자체가 발생하지 않음


5. Infrastructure Monitoring + Alerting

📎 공식 문서: Infrastructure · Anomaly Detection · On-call 서버·컨테이너·클라우드 리소스의 메트릭을 수집하고 온콜을 통해 유선으로 즉시 통보한다.

TVING 사고 적용 시나리오 DB CPU 100% 도달 즉시 → 온콜 알람 → 탐지까지 21시간이 아닌 수 분 내 대응 시작 가능


6. Audit Trail + Log Management

📎 공식 문서: audit_trail · Log Management 모든 사용자·시스템 활동의 불변 로그를 보존한다.


플레이북 — TVING형 침해 사고 발생 시 Datadog 대응 흐름

[탐지]
CSM Threats: 비정상 IAM 활동 시그널
DBM: 쿼리 급증 + 신규 접속 IP 알람
Infrastructure: DB CPU 이상 탐지
        │
        ▼
[트리아지]
Cloud SIEM Investigation 에서
관련 CloudTrail, VPC Flow, RDS 로그 통합 조회
공격자 IP / 사용된 키 / 접근한 테이블 즉시 확인
        │
        ▼
[격리]
CSM에서 해당 IAM 키 자동 비활성화 액션 트리거
(AWS Lambda 연동 또는 Workflow Automation)
공격자 IP를 Security Group에서 자동 차단
        │
        ▼
[조사]
Log Management에서 해당 키의 전체 활동 이력 추출
영향받은 데이터 범위(테이블·행 수) 정량화
KISA 신고서 작성에 필요한 타임라인 자동 생성
        │
        ▼
[재발 방지]
CSM Misconfigurations로 잔존 IAM 과도 권한 전수 스캔
SAST/Secret Detection으로 코드베이스 전체 시크릿 재스캔

요약 — 이 사고에서 Datadog이 바꿀 수 있었던 것

문제Datadog 없을 때Datadog 있을 때
GitHub 키 하드코딩배포 후 노출, 사고 발생 전까지 미인지Code Security가 PR 단계에서 차단
침입 탐지 지연 (21시간)DB CPU 100% 후 수동 확인수 분 내 복합 알람 자동 발송
피해 범위 파악포렌식 팀 수작업 로그 분석Log Management로 즉시 쿼리·시각화
IAM 과도 권한사고 후 정책 변경CSM Misconfigurations가 사전 감지
KISA 신고 타임라인 작성수동 재구성Audit Trail 기반 자동 생성 가능