크롬 확장프로그램 공급망 해킹·정부 플랫폼 취약점 방치…보안 관리 사각지대 드러나

AI 보안기업 Cyberhaven, 피싱으로 개발자 계정 탈취돼 400만 사용자 위험 노출. 창업진흥원 '모두의창업'은 IDOR 취약점 1년간 방치해 예비 창업자 정보 유출. 공급망 보안과 취약점 관리 체계의 근본적 허점이 동시에 드러났다.

---

사례 1: Cyberhaven 확장프로그램 공급망 해킹

AI 보안 솔루션을 제공하는 Cyberhaven이 역설적이게도 보안 사고의 피해자가 됐다. 공격자는 Cyberhaven 개발자를 대상으로 정교한 피싱 공격을 감행해 크롬 웹스토어 관리자 계정을 탈취했다. 이후 정상 확장프로그램에 악성코드를 삽입한 업데이트를 배포했고, 약 31시간 동안 400만 명의 사용자가 데이터 탈취 위험에 노출됐다.

이번 사고는 소프트웨어 공급망 공격(Supply Chain Attack)의 전형적인 사례다. 최종 사용자는 공식 배포 채널을 통해 업데이트를 받았기 때문에 악성코드 감염 사실을 인지하기 어려웠다. 보안기업조차 내부 개발자의 계정 보안이 뚫리면 무력화될 수 있다는 점을 여실히 보여준다.

사례 2: '모두의창업' 플랫폼 IDOR 취약점 방치

창업진흥원이 운영하는 '모두의창업' 플랫폼에서는 IDOR(Insecure Direct Object Reference) 취약점이 1년 넘게 방치된 것으로 확인됐다. IDOR은 URL이나 파라미터의 식별자를 임의로 변경해 타인의 정보에 접근할 수 있는 취약점이다. 이로 인해 예비 창업자들의 개인정보는 물론, 사업 아이디어가 담긴 사업계획서까지 무방비로 노출됐다.

정부·공공기관 플랫폼에서 기초적인 접근통제 취약점이 장기간 방치됐다는 점은 심각한 문제다. 특히 사업계획서는 단순 개인정보를 넘어 창업자의 핵심 자산이자 영업비밀에 해당할 수 있어 피해 규모 산정조차 어렵다.

공통 패턴: '관리적 보안'의 부재

두 사례는 기술적 고도화보다 기본적인 보안 관리 체계의 부재가 원인이라는 공통점을 갖는다. Cyberhaven 사고는 개발자 계정에 대한 다중인증(MFA) 미적용 또는 피싱 대응 교육 부족이, 모두의창업 사고는 정기적인 취약점 점검과 조치 이행 프로세스의 부재가 근본 원인으로 지목된다.

기업·기관 대응 방안

첫째, 개발자·관리자 계정에는 하드웨어 보안키 기반 MFA를 의무화하고, 정기적인 보안 인식 교육을 실시해야 한다. 둘째, 공급망 보안을 위해 코드 서명 검증, 배포 파이프라인 모니터링 체계를 구축해야 한다. 셋째, IDOR 등 OWASP Top 10 취약점에 대한 정기 점검과 발견 즉시 조치하는 프로세스를 수립해야 한다. 넷째, 공공기관은 정보보호 관리체계(ISMS-P) 인증 기준에 따른 취약점 관리 절차를 실질적으로 이행해야 한다.

---

📚 CPPG·ISMS-P 시험 연계 포인트

>

ISMS-P 인증기준 2.10.5 '취약점 점검 및 조치' 항목에서는 정보시스템에 대해 정기적으로 취약점 점검을 수행하고, 발견된 취약점에 대해 조치 계획을 수립하여 적시에 조치할 것을 요구한다. '모두의창업' 사례처럼 취약점을 인지하고도 1년간 방치하는 것은 해당 인증기준의 명백한 위반에 해당한다. 시험에서는 취약점 점검 주기, 조치 우선순위 결정 기준, 이행 점검 절차 등이 출제될 수 있다.

---

개인정보보호 전문기자 백남정