공급망 해킹부터 정부 플랫폼 방치까지…보안 사각지대가 부른 대규모 정보유출

AI 보안기업 확장프로그램 해킹으로 400만 사용자 위험, 정부 창업 플랫폼은 1년간 취약점 방치

---

사례 1: Cyberhaven 크롬 확장프로그램 공급망 공격

AI 보안 전문기업 Cyberhaven이 아이러니하게도 자사 보안 허점으로 대규모 정보유출 위기에 처했다. 공격자는 피싱을 통해 개발자 계정 탈취에 성공했고, 이를 통해 크롬 웹스토어에 악성코드가 삽입된 확장프로그램 업데이트를 배포했다.

문제는 약 31시간 동안 이 악성 버전이 사용자들에게 자동 업데이트되었다는 점이다. 누적 다운로드 400만 회 이상을 기록한 인기 확장프로그램인 만큼, 브라우저 쿠키, 세션 토큰, 각종 인증 자격증명 등 민감정보가 대거 유출됐을 가능성이 높다.

특히 확장프로그램은 브라우저 내 모든 활동에 접근 권한을 가지는 경우가 많아, 피해 범위가 단순 계정 탈취를 넘어 기업 내부 시스템 침투로까지 확대될 수 있다는 점에서 우려가 크다.

---

사례 2: '모두의창업' 플랫폼 보안 취약점 1년간 방치

창업진흥원이 운영하는 정부 창업 지원 플랫폼 '모두의창업'에서 기초적인 보안 취약점이 장기간 방치된 것으로 드러났다.

2025년 감사 결과, URL 파라미터 조작만으로 타인의 정보에 접근할 수 있는 수평적 권한 상승(IDOR) 취약점이 발견됐다. 더 심각한 것은 이 취약점이 이미 1년 전에 지적됐음에도 조치되지 않았다는 점이다. TLS(전송 구간 암호화) 미적용, 접근권한 관리 미흡 등 기본적인 보안 조치조차 이뤄지지 않았다.

이로 인해 예비 창업자들의 개인정보는 물론, 사업계획서와 아이디어까지 외부로 유출된 것으로 파악된다. 이는 개인정보보호법 제29조(안전조치의무) 위반에 해당하며, 창업진흥원에 대한 행정처분이 불가피해 보인다.

---

공통 패턴: '신뢰받는 채널'이 공격 통로가 된다

두 사건의 공통점은 사용자가 신뢰하는 경로를 통해 피해가 확산됐다는 것이다.

Cyberhaven 사례에서는 공식 크롬 웹스토어의 자동 업데이트 시스템이, 모두의창업 사례에서는 정부 운영 플랫폼이라는 신뢰가 오히려 피해를 키웠다. 또한 두 사건 모두 초기 대응 실패가 피해 규모를 확대시켰다. 31시간의 악성코드 배포 시간, 1년간의 취약점 방치 기간이 이를 증명한다.

---

기업·기관 대응 방안

1. 공급망 보안 강화: 개발자 계정에 다중인증(MFA) 의무화, 코드 서명 및 무결성 검증 체계 도입

2. 지속적 취약점 점검: 연 1회 형식적 점검이 아닌, 상시 모니터링 및 즉시 패치 체계 구축

3. 침해사고 대응체계 정비: 이상 징후 탐지 시 신속한 서비스 중단 및 이용자 통지 절차 마련

4. 정기 보안 교육: 피싱 등 사회공학적 공격에 대한 임직원 인식 제고

---

📚 CPPG·ISMS-P 시험 연계 포인트

>

개인정보보호법 제29조(안전조치의무)와 이에 따른 「개인정보의 안전성 확보조치 기준」 고시는 접근권한 관리(제5조), 접근통제(제6조), 암호화(제7조) 등을 구체적으로 규정한다. ISMS-P 인증 심사 시에도 '2.6 접근통제' 영역에서 URL 파라미터 변조를 통한 비인가 접근 차단 여부가 주요 점검 항목이다. 수평적 권한 상승(IDOR) 취약점은 OWASP Top 10에서도 'Broken Access Control'로 분류되는 대표적 취약점임을 기억하자.

---

백남정 기자 security@privacy-news.kr