티빙은 침해 사고 인지 후 해커가 사용한 계정 및 인증정보 차단, 아마존웹서비스(AWS) 액세스 키 폐기와 함께 깃허브(GitHub) 자격증명 교체 등의 조치를 했다고 한국인터넷진흥원(KISA)에 신고했다.

이는 티빙 깃허브 접속 계정 정보가 해커에게 탈취 당했거나 무단 노출됐을 가능성을 시사하는 대목이다.

깃허브는 DB 서버처럼 데이터를 저장하는 공간이 아니라, 개발자들이 소스코드를 기록하고 협업하는 플랫폼이다. 티빙 플랫폼의 설계 도면과 향후 청사진 등이 모여있는 공간이다. 시스템 구성과 운영에 필요한 핵심 로직, 각종 내부 제어 권한, 개발 편의를 위해 소스코드에 하드코딩된 시스템 접근 자격증명(시크릿 키) 등이 보관돼 있을 확률이 높다는 우려가 업계에서 제기된다.

이러한 플랫폼 핵심 정보가 노출됐다면 파장은 단순 개인정보 유출 수준을 훌쩍 뛰어넘게 된다.

보안뉴스 - 티빙 사태, DB 유출보다 깃허브에 주목할 이유
https://m.boannews.com/html/detail.html?idx=144054

티빙의 대응은 더 충격적입니다. 해커가 DB에 침투해 무단으로 명령어를 입력하는 동안 21시간이나 인지조차 하지 못했습니다. 티빙 개발자들은 깃허브(GitHub)에 아마존웹서비스(AWS) 접속키를 그대로 노출시킨 것으로 판단됩니다. 보안의 ABC조차 지키지 않은 결과입니다. 그것도 모자라 사고 인지 후 정확히 23시간 59분이 지나 법정 신고 시한 단 1분을 남겨 두고 한국인터넷진흥원(KISA)에 신고했습니다. 1,300만 명의 개인정보 유출 사고를 어떻게든 시간을 끌어 축소시키려 했다는 비판을 피할 수 없습니다.

민주당 - 티빙 1,300만 명 개인정보 유출 사태, 솜방망이 처벌을 끝낼 때입니다
https://theminjoo.kr/main/sub/news/view.php?sno=0&brd=11&post=1218969&search=

놀랍네요. 리포에 aws 엑세스 키를... ㄷㄷㄷ

.

.

.

하지만, 몇 년 전, 접속이 안 된다는 리포를 인계 받아 이리저리 처리할 때 이번과 똑같이 리포에 aws 엑세스 키가 들어있는 걸 본 적이 있습니다. ㄷㄷㄷ

그 때도 놀랐는데 티빙이 그런 수준이라니... ㄷㄷㄷㄷ