보안기업도 뚫렸다…Klue 해킹으로 CrowdStrike 등 글로벌 보안사 기밀 다크웹 유출

---

시장정보 플랫폼 Klue가 해킹당하면서 CrowdStrike, Netskope 등 글로벌 보안기업들의 비즈니스 전략과 고객 정보가 다크웹에 대량 유출됐다. 보안 솔루션을 제공하는 기업들마저 공급망 공격에 속수무책으로 당한 셈이다. 국내에서도 스타트업 플랫폼의 취약점이 1년간 방치되는 등 제3자 위탁 관리의 허점이 연이어 드러나고 있다.

---

사건 개요: 3건의 침해사고가 던진 경고

1️⃣ Klue 플랫폼 해킹 – 보안기업 정보의 역설적 유출

경쟁사 분석 SaaS 플랫폼인 Klue가 해킹되면서 고객사로 등록된 CrowdStrike, Abnormal Security, Netskope 등 글로벌 보안기업들의 민감 정보가 다크웹에 공개됐다. 유출 데이터에는 각 사의 비즈니스 전략, 가격 정책, 고객 리스트가 포함된 것으로 알려졌다.

아이러니하게도 사이버 위협을 방어해야 할 보안기업들이 외부 SaaS 플랫폼의 보안 취약점으로 피해를 입은 것이다. 이는 공급망(Supply Chain) 보안의 중요성을 다시 한번 환기시킨다.

2️⃣ Cyberhaven 피싱 공격 – 400만 사용자 위험 노출

데이터 보안 스타트업 Cyberhaven은 임직원 대상 피싱 공격에 당하면서 약 400만 사용자의 정보가 위험에 노출됐다. 공격자는 내부 시스템 접근 권한을 탈취한 뒤 고객 데이터에 접근한 것으로 추정된다.

3️⃣ 국내 '모두의창업' IDOR 취약점 1년 방치

국내 창업 정보 플랫폼 '모두의창업'에서는 IDOR(Insecure Direct Object Reference) 취약점이 1년 이상 방치된 사실이 확인됐다. IDOR은 URL 파라미터 조작만으로 타인의 정보에 접근할 수 있는 기초적인 취약점으로, 개인정보보호위원회 제재 대상이 될 가능성이 높다.

---

공통 패턴: 신뢰했던 외부 서비스가 약한 고리

세 사건 모두 '제3자 서비스 및 인적 요소'가 침해의 시발점이 됐다.

사례	공격 벡터	핵심 취약점
Klue	플랫폼 직접 해킹	수탁사 보안 관리 미흡
Cyberhaven	피싱	임직원 보안 인식 부족
모두의창업	IDOR	기본 접근제어 미구현

기업들이 핵심 시스템은 철저히 관리하면서도, 외부 SaaS나 위탁업체의 보안 수준은 제대로 점검하지 않는 관행이 반복되고 있다.

---

기업·기관 대응 방안

• 수탁사 보안 실사 강화: 계약 전 보안 점검뿐 아니라 정기적인 재평가 체계 구축
• 최소 권한 원칙 적용: 외부 플랫폼에 제공하는 데이터 범위 최소화
• 피싱 대응 훈련 정례화: 경영진·개발자 포함 전 직원 대상 모의훈련
• OWASP Top 10 기반 점검: IDOR 등 기초 취약점 주기적 자가진단

---

📚 CPPG·ISMS-P 시험 연계 포인트

>

개인정보 처리 위탁 시 수탁자 관리·감독 의무 (개인정보보호법 제26조)

>

위탁자는 수탁자가 개인정보를 안전하게 처리하는지 정기적으로 점검해야 하며, 수탁자의 귀책으로 발생한 손해에 대해 위탁자도 연대책임을 진다. Klue 사례처럼 외부 SaaS에 민감 정보를 저장할 경우, 해당 플랫폼도 '수탁자'로 보아 관리·감독 의무가 발생한다는 점을 기억해야 한다.

---

백남정 기자 | namjung.baek@privacy-news.kr