TVING 대규모 개인정보 유출 사고 분석
TLP:CLEAR발행일: 2026-06-09
갱신일: -
심각도: 🔴 Critical
버전: 1.0
출처: 공개 언론 보도, KISA 침해사고 신고서 기반 보도자료, 나무위키, 데이터독 공식 독스
TVING 대규모 개인정보 유출 사고 분석
Cyber Threat Intelligence Report | CJ ENM OTT 플랫폼 DB 직접 침입 사건
목차
#1. Executive Summary
#2. 침해 사고 타임라인
#3. 공격 생명주기 (Attack Lifecycle)
#4. 인디케이터 (IOC / IOA)
#5. 주요 발견 및 취약점
#6. 대응 권고사항
#부록 A — TLP (Traffic Light Protocol)
#부록 B — Datadog으로 할 수 있는 일
1. Executive Summary
핵심 지표
| 항목 | 값 |
|---|---|
| 잠재 피해 규모 | 최대 1,000만 명 |
| 유출 항목 수 | 11종 |
| 탐지까지 소요 시간 | 약 21시간 |
| 최초 침입 → 공개 공지 | 4일 |
사고 개요
2026년 5월 30일 오후 6시경, 신원 미상의 위협 행위자가 국내 최대 OTT 서비스 TVING의 클라우드 인프라(AWS)에 침입하여 개인정보 저장 DB에 직접 접근, 쿼리를 실행하고 파일을 외부로 전송한 사고다.
침입 경로는 GitHub 소스코드 저장소에 하드코딩된 채 노출된 AWS 액세스 키로 추정된다. 단순 데이터 유출을 넘어 핵심 운영 인프라 제어권이 침해되었을 가능성이 있으며, 유출된 CI(연계정보)·DI 등은 2차 피싱·계정 탈취 공격에 즉시 악용될 수 있어 심각성이 높다.
확인된 침해 범위
| 항목 | 내용 |
|---|---|
| 표적 시스템 | AWS 클라우드 DB 서버 |
| 침입 방식 | 자격증명 탈취 → DB 직접 쿼리 |
| 데이터 반출 | 확인됨 (파일 외부 전송) |
| 주민번호 유출 | 없음 (미보유) |
| 결제정보 유출 | 없음 (미보유) |
조직 대응 현황
| 항목 | 내용 |
|---|---|
| KISA 신고 | 2026-06-01 (72시간 내) |
| 공격 IP 차단 | ✅ 확인 |
| AWS 키 폐기 | ✅ 확인 |
| GitHub 자격증명 교체 | ✅ 확인 |
| 민관합동조사단 | 2026-06-04 구성 (약 10명) |
유출된 개인정보 항목
| 항목 | 암호화 여부 | 위험도 |
|---|---|---|
| 아이디, 이름, 생년월일, 성별 | ❌ 평문 | 🟠 HIGH |
| CI (연계정보), DI (중복가입확인정보) | ❌ 평문 | 🔴 CRITICAL |
| 휴대전화번호 (뒷 4자리 암호화) | ⚠️ 부분 | 🟠 HIGH |
| 이메일 (도메인 제외 암호화) | ⚠️ 부분 | 🟠 HIGH |
| 환불 계좌번호 | ✅ 암호화 | 🟡 MEDIUM |
| 비밀번호 | ✅ 단방향 암호화 | 🟡 MEDIUM |
| 서비스 이용 관련 정보 | ❓ 미확인 | 🟡 MEDIUM |
CI(Connecting Information) 유출의 특수 위험성
CI(연계정보)는 이름, ID, 전화번호 등 단방향 암호화하여 생성한 식별값으로, 서비스 간 동일 사용자를 식별하는 데 사용된다. 원문 복원은 불가능하나, 이미 CI를 보유한 다른 서비스와 데이터를 결합·대조하여 신원을 특정하거나 계정을 연계하는 것이 가능하다.
2. 침해 사고 타임라인
2026-05-30 18:01 ● 최초 DB 침입
2026-05-31 15:09 ● TVING 내부 탐지 (~21시간 후)
2026-06-01 15:08 ● KISA 신고
2026-06-02 ● 긴급 보안 조치
2026-06-03 ● 피해자 공개 공지
2026-06-04 ● 민관합동조사단 구성
🔴 2026-05-30 18:01 — 최초 DB 침입 발생
DB 서버 CPU 사용률 100% 급증 이상 징후 발생. 공격자가 AWS 액세스 키로 클라우드 인프라 접근 후 개인정보 DB 서버에 직접 접속, 쿼리 실행 개시.
🔴 2026-05-31 15:09 — TVING 내부 유출 확인
비인가 접근 및 쿼리 실행 정황 내부 확인. DB 서버 CPU 100% 발생에 따른 이상행위 조사 과정에서 발견. 탐지까지 약 21시간 소요.
🟠 2026-06-01 15:08 — KISA 침해사고 신고
과학기술정보통신부 및 한국인터넷진흥원(KISA)에 침해사고 신고. 개인정보보호법 제34조 72시간 이내 신고 의무 이행.
🟠 2026-06-02 — 긴급 보안 조치 시행
- 공격자 IP 접근 차단
- AWS 액세스 키 폐기
- GitHub 하드코딩된 자격증명 삭제·교체
- 클라우드 접근통제 정책 변경
- DB 모니터링 강화
🔵 2026-06-03 — 피해자 공개 공지
TVING 앱·홈페이지에 개인정보 유출 사실 통지 게시. 11개 유출 항목 명시, 피해 접수 전담 고객센터 운영 개시.
✅ 2026-06-04 — 민관합동조사단 구성
과기정통부·KISA 주도, 디지털 포렌식·클라우드 전문가 포함 약 10명 규모. 정부가 '중대 사고'로 공식 판단하고 사고 원인 및 피해 범위 심층 조사 착수.
3. 공격 생명주기 (Attack Lifecycle)
MITRE ATT&CK 프레임워크 기반 분석
🔍 정찰 → 🔑 초기 접근 → ☁️ 권한 확보 → 🗄️ DB 접근 → 📤 데이터 반출
🔍 단계 1 — 정찰 (Reconnaissance)
추정 방식: GitHub 공개(또는 비공개) 저장소 내 하드코딩된 AWS 자격증명 탐색. 공격자는 GitHub 코드 검색, truffleHog·Gitleaks 류의 자동화 스캔 도구를 사용하여 소스코드에 노출된 클라우드 키를 식별했을 가능성이 높다.
사고 증거: TVING이 대응 과정에서 GitHub에 하드코딩된 자격증명을 삭제·교체한 사실이 KISA 신고서에 명시됨으로써, GitHub를 통한 자격증명 노출이 공격 경로로 추정된다.
MITRE ATT&CK 매핑:
T1592— Gather Victim Host InformationT1213— Data from Information Repositories
🔑 단계 2 — 초기 접근 (Initial Access)
추정 방식: 탈취한 AWS 액세스 키(Access Key ID + Secret Access Key)를 사용하여 TVING의 AWS 계정에 인증. 유효한 자격증명을 사용하므로 WAF·IDS 등 네트워크 기반 탐지를 우회 가능.
사고 증거: TVING이 사고 직후 AWS 액세스 키를 즉시 폐기한 사실이 확인됨. 자격증명이 실제 사용되어 인프라 접근이 이루어진 것으로 판단.
MITRE ATT&CK 매핑:
T1078— Valid AccountsT1552.001— Credentials In Files
☁️ 단계 3 — 권한 확보 (Privilege Escalation / Lateral Movement)
추정 방식: AWS IAM 역할 또는 정책을 통해 DB 접근 권한을 확보. AWS 액세스 키가 과도한 권한(overprivileged)으로 설정되어 클라우드 내 DB 서버에 직접 접근이 가능한 상태였던 것으로 추정.
지적된 취약점: 최소 권한 원칙(Principle of Least Privilege) 미준수, IAM 역할 분리 부재 추정. 클라우드 접근통제 정책이 사고 이후 변경된 사실이 이를 방증.
MITRE ATT&CK 매핑:
T1078.004— Cloud AccountsT1098— Account Manipulation
🗄️ 단계 4 — DB 직접 접근 (Collection)
확인된 사실: KISA 신고서에 "비인가 접근 및 쿼리 실행"이 명시됨. 공격자가 DB 서버에 직접 접속하여 개인정보 조회 쿼리(SELECT 등)를 실행하였으며, 이로 인해 CPU 사용률이 100%에 도달하는 이상 징후가 발생.
의미: 단순 스토리지 다운로드가 아닌 DB 레이어에 직접 접근했다는 것은 인프라 구조에 대한 사전 이해 또는 충분한 탐색 시간이 있었음을 시사한다.
MITRE ATT&CK 매핑:
T1213— Data from Information RepositoriesT1530— Data from Cloud Storage
📤 단계 5 — 데이터 반출 (Exfiltration)
확인된 사실: 개인정보 파일이 외부로 전송된 정황이 확인됨. 반출 경로(C2 서버 IP 등)는 공개되지 않았으나, TVING이 공격자 IP 접근을 차단한 사실로 볼 때 외부 서버로의 파일 전송이 이루어진 것으로 판단.
우려 사항: 유출된 피해자 규모가 공식 미발표 상태. 보안업계는 최대 1,000만 명 규모로 추정.
MITRE ATT&CK 매핑:
T1537— Transfer Data to Cloud AccountT1048— Exfiltration Over Alternative Protocol
4. 인디케이터 (IOC / IOA)
| 유형 | 인디케이터 / 설명 | 신뢰도 | 출처 |
|---|---|---|---|
CREDENTIAL | AWS 액세스 키 GitHub 하드코딩 노출 — AKIA… 패턴의 키가 소스코드 내 평문 저장 | 🔴 HIGH (공식 확인) | KISA 신고서 |
BEHAVIOR | DB 서버 CPU 100% 급증 — 단시간 내 대량 SELECT 쿼리 실행으로 인한 급격한 부하 | 🔴 HIGH (공식 확인) | KISA 신고서 |
BEHAVIOR | 업무시간 외 DB 비인가 쿼리 실행 — 오후 6시 1분, 업무시간 이후 비정상 접근 | 🟠 HIGH | KISA 신고서 |
NETWORK | 공격자 출처 IP (미공개) — TVING이 IP 기반 접근 차단 조치 시행, 단일 또는 복수 IP 추정 | 🟡 MEDIUM | 대응 조치 기반 |
CREDENTIAL | GitHub 자격증명 노출 (하드코딩) — 소스코드 내 평문 저장된 서비스 계정 자격증명, 교체 완료 | 🔴 HIGH (공식 확인) | KISA 신고서 |
ARTIFACT | 개인정보 파일 외부 전송 로그 — DB에서 추출된 파일이 외부 서버로 전송된 정황, 반출 대상 IP/도메인 미공개 | 🟠 MEDIUM-HIGH | 공식 발표 |
BEHAVIOR | 클라우드 접근 후 DB 직접 접속 — API가 아닌 DB 레이어 직접 쿼리, 인프라 구조 사전 파악 또는 광범위한 탐색 시사 | 🟠 HIGH | KISA 신고서 |
NETWORK | 크리덴셜 스터핑 선행 공격 (2025-12) — 2025년 12월 TVING 공지된 스터핑 공격과의 연계 가능성 | ⚪ LOW-MED | 2025.12 TVING 공지 |
5. 주요 발견 및 취약점
🔴 [CRITICAL] 소스코드 내 클라우드 자격증명 하드코딩
GitHub 저장소 소스코드에 AWS 액세스 키가 AKIA... 형태로 평문 저장되어 있었음이 공식 확인됐다. AWS 액세스 키는 클라우드 내 서버·스토리지·DB 전체에 접근 가능한 마스터 키에 해당한다. 개발 편의를 위한 하드코딩 관행이 이번 사고의 근본 원인으로 지목되며, 이는 기초적인 보안 원칙인 시크릿 관리(Secret Management) 정책의 부재를 의미한다. AWS Secrets Manager 또는 환경 변수를 통한 키 관리가 이루어지지 않았음을 시사한다.
🔴 [CRITICAL] 침입 탐지 실패 — 약 21시간 미감지
최초 DB 침입(5/30 18:01)부터 내부 탐지(5/31 15:09)까지 약 21시간이 경과하였다. DB 서버 CPU 100% 도달이라는 명확한 이상 징후가 발생했음에도 실시간 탐지·대응 체계가 작동하지 않았다. 이는 SIEM 부재 또는 알람 임계값 미설정, SOC 모니터링 공백을 시사한다.
또한 TVING의 정보보호 투자액이 2022년 약 22억 원에서 2024년 약 17억 원으로 2년 연속 감소한 점이 구조적 배경으로 지목된다.
🟠 [HIGH] 과도한 IAM 권한 부여 (Overprivileged Cloud Account)
탈취된 AWS 액세스 키가 DB 서버에 직접 접근·쿼리 실행이 가능한 수준의 권한을 보유하고 있었다. 최소 권한 원칙(Principle of Least Privilege)이 준수되었다면, 해당 키를 탈취하더라도 DB 접근 자체가 불가능해야 한다. 클라우드 접근통제 정책이 사고 이후 변경된 사실이 이를 방증하며, IAM 역할 분리·세분화 부재가 피해를 확대시킨 주요 요인이다.
🟠 [HIGH] DB 접근 모니터링 정책 미비
사고 후 "DB 접속에 대한 모니터링 강화"가 대응 조치로 언급되었다는 것은 사전에 DB 레이어에 대한 접근 감사(Audit Logging) 및 이상 쿼리 탐지가 충분하지 않았음을 의미한다. 특히 대량 데이터 조회 쿼리, 비인가 IP 기반 접속 등에 대한 실시간 알람 체계가 없었던 것으로 판단된다.
🟡 [MEDIUM] CI·DI 등 고위험 식별자 평문 저장
연계정보(CI)와 중복가입확인정보(DI)가 암호화 없이 평문 상태로 저장되어 있었다. CI는 여러 서비스 간 동일 이용자를 연계 식별하는 데 활용 가능하므로, 데이터 결합 공격의 핵심 벡터로 사용될 수 있다. 고위험 식별자에 대한 추가 암호화 또는 접근 통제 레이어가 요구된다.
6. 대응 권고사항
이용자 권고
① TVING 및 동일 계정 사용 서비스 비밀번호 즉시 변경
비밀번호 단방향 암호화 여부와 관계없이, 동일 ID·비밀번호를 타 서비스에서 사용하는 경우 크리덴셜 스터핑 위험에 즉시 노출된다.
② 출처 불명 전화·문자·이메일 응대 금지 (피싱 주의)
이름·생년월일·전화번호가 결합 유출되어 정교한 스피어 피싱이 가능하다. 금융기관·통신사 사칭 연락 시 직접 공식 번호로 확인 후 대응할 것.
조직 권고 (동종 OTT·클라우드 운영사)
① 전체 GitHub 저장소 시크릿 스캔 즉시 실행
Gitleaks, truffleHog, AWS의 자체 GitHub 통합 시크릿 스캔 등을 즉시 실행하여 노출된 자격증명을 파악하고 전수 교체한다. AWS 자격증명은 IAM에서 로테이션 주기 설정 필수.
② IAM 최소 권한 원칙 재점검 및 DB 접근 역할 분리
서비스 계정별 IAM 정책을 재검토하여 DB 접근 권한을 최소화한다. 애플리케이션 서버와 DB 서버 간 접근에는 IAM Role 기반 인증(IRSA/인스턴스 프로파일)을 적용하고 액세스 키 발급 자체를 폐지한다.
③ DB 감사 로그(Audit Log) 활성화 및 이상 쿼리 탐지 알람 설정
AWS RDS CloudTrail 통합 또는 DB 엔진 레벨 감사 로그를 활성화한다. 비인가 IP, 업무시간 외 대량 SELECT, DDL 실행에 대한 실시간 알람을 SIEM에 연동한다.
④ 고위험 개인정보(CI·DI·계좌번호) 컬럼 레벨 암호화 적용
DB 레이어에서 CI·DI를 포함한 민감 컬럼에 대해 컬럼 레벨 암호화(CLE) 또는 토크나이제이션을 적용한다. 키 관리는 AWS KMS 등 별도 시스템으로 분리 운영한다.
⑤ 정보보호 투자 복원 및 전담 보안 거버넌스 체계 재정비
정보보호 투자액이 2년 연속 감소한 구조적 문제를 해결해야 한다. CISO 직위 독립, SOC 24/7 모니터링 체계 구축, 정기 침투테스트·레드팀 훈련을 연간 계획에 포함시킨다.
부록 A — TLP (Traffic Light Protocol)
TLP는 정보 공유 범위를 색깔로 표시하는 국제 표준 체계다. 미국 CISA와 FIRST(보안 사고 대응 포럼)가 관리하며, 보안 커뮤니티에서 광범위하게 사용된다.
| 등급 | 공유 범위 | 설명 |
|---|---|---|
🔴 TLP:RED | 수신자 본인만 | 구두 전달만 허용, 문서 전달 금지. 유출 시 심각한 피해가 예상되는 최고 민감 정보 |
🟠 TLP:AMBER | 조직 내부 + 직접 관련된 고객·파트너 | Need-to-know 원칙 적용. TLP:AMBER+STRICT는 자기 조직 내부로만 더 엄격히 제한 |
🟢 TLP:GREEN | 특정 커뮤니티 내 자유 공유 | 인터넷 공개 게시 불가. ISAC 등 신뢰된 커뮤니티 내 배포용 |
⚪ TLP:WHITE / TLP:CLEAR | 제한 없음 — 누구에게나 공개 | 2022년 TLP v2.0부터 WHITE → CLEAR로 명칭 변경. 두 표기 모두 통용됨 |
TLP:CLEAR 언론 보도 및 공개된 KISA 신고서 기반 자료로 구성되어 있으므로 배포 제한이 없다.참고 및 출처
- KISA 침해사고 신고서 (국회 과방위 제출 자료 기반 보도)
- 뉴스1, 이데일리, 뉴시스, 전자신문, 경향신문 보도 (2026.06.03–06.09)
- 나무위키 — 티빙 개인정보 유출 사건
- YTN 라디오 — 홍준호 성신여대 융합보안공학과 교수 인터뷰 (2026.06.05)
공개된 언론 보도, KISA 신고서 기반 보도자료 등 공개 출처를 기반으로 작성되었으며, 확인되지 않은 정보는 "추정" 또는 "가능성"으로 명시하였다.
부록 B — Datadog으로 할 수 있는 일
기능 맵핑 — 이 사고의 어느 단계를 커버하는가
| 공격 단계 | 관련 Datadog 기능 | 커버 여부 |
|---|---|---|
| 정찰 — GitHub 시크릿 노출 | SAST/Secret Scanning | ✅ 코드 내 시크릿 스캔 |
| 초기 접근 — AWS 키 탈취 사용 | Cloud Security Management (CSM) | ✅ 비정상 IAM 활동 탐지 |
| 권한 확보 — Overprivileged IAM | Misconfigurations(CSPM/CIEM) | ✅ IAM 과도 권한 설정 감지 |
| DB 직접 접근 — 쿼리 실행 | Database Monitoring (DBM) | ✅ 비정상 쿼리 패턴 탐지 |
| DB CPU 100% 이상 징후 | Infrastructure Monitoring + Alerts | ✅ CPU 임계값 알람 |
| 데이터 반출 — 외부 파일 전송 | Cloud SIEM | ✅ 비정상 네트워크 트래픽 탐지 |
| 사고 대응 — 포렌식 | Log Management + Audit Trail | ✅ 전체 로그 보존 및 검색 |
기능별 상세 설명
1. Cloud Security Management (CSM)
📎 공식 문서: cloud_security_management · cloud-siem
AWS·GCP·Azure 클라우드 환경 전반의 위협을 실시간 탐지한다.
- CSM Threats — 런타임 위협 탐지. 비정상적인 IAM 역할 가정(AssumeRole), 평소와 다른 지역/IP에서의 AWS API 호출, 루트 계정 사용 등을 즉시 알람
- CSM Misconfigurations — 인프라 설정 오류 지속 스캔. 과도한 IAM 권한, 공개된 S3 버킷, DB 보안그룹 과다 개방 등을 CIS Benchmark 기준으로 자동 평가
- Identity Risks — IAM 사용자·역할의 실제 사용 권한 vs 부여된 권한 차이를 시각화. TVING 사고의 Overprivileged 키 문제를 사전에 식별 가능
AKIA… 패턴의 액세스 키가 평소 사용하지 않던 리전(예: us-east-1)에서 DB 접근 API를 호출하는 순간 CSM Threats가 탐지 → PagerDuty·Slack으로 즉시 알람 발송2. Database Monitoring (DBM)
📎 공식 문서: database_monitoring
DB 레이어의 모든 쿼리를 수집·분석한다.
- 실행된 모든 쿼리의 출처 IP, 실행 시간, 영향받은 행 수를 기록
- 비정상적으로 많은 행을 조회하는
SELECT *류 쿼리, 평소 접속하지 않던 사용자의 DB 접근을 이상 탐지 - Query Metrics — 단위 시간당 쿼리 수 급증(TVING의 CPU 100% 트리거와 동일 패턴)을 알람으로 연결 가능
3. Cloud SIEM
📎 공식 문서: cloud_siem · AWS 설정 가이드
로그 기반 위협 탐지 및 조사 플랫폼이다.
- AWS CloudTrail, VPC Flow Logs, RDS 로그 등을 자동 수집·파싱
- OOTB Detection Rules — AWS 자격증명 유출, 비정상 데이터 반출, 권한 상승 패턴 등 수백 개의 사전 탐지 룰 제공
- Security Signals — 개별 이벤트가 아닌 연관 이벤트를 묶어 공격 캠페인 단위로 알람. 정찰 → 접근 → 반출 패턴을 하나의 시그널로 연결
- Investigation Workbench — 시그널 발생 시 관련 로그·메트릭·트레이스를 한 화면에서 조사 가능
1) 신규 IP에서 AWS 콘솔 로그인 → 2) RDS 접근 API 다수 호출 → 3) 대용량 데이터 외부 전송 3개 이벤트가 연속 발생 시 단일 Security Signal로 묶어 알람4. Software Composition Analysis (SCA) / Static Analysis (SAST) / Secret Scanning
📎 공식 문서: code_security · Secret Scanning · SAST 코드와 의존성의 취약점 및 시크릿 노출을 탐지한다.
- Secret Detection — GitHub, GitLab 등 소스코드 저장소를 스캔하여
AKIA…패턴의 AWS 키, DB 패스워드 등 하드코딩된 시크릿을 PR 단계에서 차단 - CI/CD 파이프라인에 통합하면 코드가 저장소에 머지되기 전 자동 블록 가능
- 이번 사고의 근본 원인인 GitHub 하드코딩 문제를 개발 단계에서 차단할 수 있는 유일한 레이어
5. Infrastructure Monitoring + Alerting
📎 공식 문서: Infrastructure · Anomaly Detection · On-call 서버·컨테이너·클라우드 리소스의 메트릭을 수집하고 온콜을 통해 유선으로 즉시 통보한다.
- DB 서버 CPU, 메모리, 커넥션 수에 대한 임계값 알람 설정
- Anomaly Detection — 단순 임계값이 아닌 ML 기반 이상 탐지. 평소 패턴 대비 통계적으로 비정상적인 CPU 급증을 자동 감지
- Composite Monitors —
CPU > 90% AND 신규 외부 IP 접속같은 복합 조건 알람 구성 가능
6. Audit Trail + Log Management
📎 공식 문서: audit_trail · Log Management 모든 사용자·시스템 활동의 불변 로그를 보존한다.
- Datadog Audit Trail은 Datadog 플랫폼 내 모든 활동(누가 어떤 대시보드를 봤는지까지)을 기록
- Log Management는 AWS CloudTrail, RDS, GitHub Audit Log 등 외부 소스를 통합 수집·장기 보존
- 사고 발생 후 포렌식 조사 시 "공격자가 어떤 경로로, 어떤 데이터에, 얼마나 접근했는가"를 시간순으로 재구성 가능
플레이북 — TVING형 침해 사고 발생 시 Datadog 대응 흐름
[탐지]
CSM Threats: 비정상 IAM 활동 시그널
DBM: 쿼리 급증 + 신규 접속 IP 알람
Infrastructure: DB CPU 이상 탐지
│
▼
[트리아지]
Cloud SIEM Investigation 에서
관련 CloudTrail, VPC Flow, RDS 로그 통합 조회
공격자 IP / 사용된 키 / 접근한 테이블 즉시 확인
│
▼
[격리]
CSM에서 해당 IAM 키 자동 비활성화 액션 트리거
(AWS Lambda 연동 또는 Workflow Automation)
공격자 IP를 Security Group에서 자동 차단
│
▼
[조사]
Log Management에서 해당 키의 전체 활동 이력 추출
영향받은 데이터 범위(테이블·행 수) 정량화
KISA 신고서 작성에 필요한 타임라인 자동 생성
│
▼
[재발 방지]
CSM Misconfigurations로 잔존 IAM 과도 권한 전수 스캔
SAST/Secret Detection으로 코드베이스 전체 시크릿 재스캔
요약 — 이 사고에서 Datadog이 바꿀 수 있었던 것
| 문제 | Datadog 없을 때 | Datadog 있을 때 |
|---|---|---|
| GitHub 키 하드코딩 | 배포 후 노출, 사고 발생 전까지 미인지 | Code Security가 PR 단계에서 차단 |
| 침입 탐지 지연 (21시간) | DB CPU 100% 후 수동 확인 | 수 분 내 복합 알람 자동 발송 |
| 피해 범위 파악 | 포렌식 팀 수작업 로그 분석 | Log Management로 즉시 쿼리·시각화 |
| IAM 과도 권한 | 사고 후 정책 변경 | CSM Misconfigurations가 사전 감지 |
| KISA 신고 타임라인 작성 | 수동 재구성 | Audit Trail 기반 자동 생성 가능 |