아이들의 정보가 통째로 노출됐다: UStrive 보안 사고의 전말
온라인 멘토링 플랫폼 UStrive에서 23만 개 이상의 사용자 정보가 노출되는 보안 사고가 발생했습니다. 취약한 GraphQL 엔드포인트를 통해 아이들의 이름, 연락처 등 민감 정보가 유출되었습니다.
미래의 인재를 보호해야 할 멘토링 플랫폼이 오히려 아이들의 안전을 위협했다. 온라인 멘토링 사이트인 UStrive에서 미성년자를 포함한 사용자 수십만 명의 개인정보가 노출되는 심각한 보안 사고가 발생했다. 로그인한 사용자라면 누구나 타인의 민감한 정보에 접근할 수 있었던 이번 사태는 기술적 허점과 관리 부실이 겹쳐진 결과로 풀이된다.
취약한 GraphQL 엔드포인트가 부른 UStrive 보안 사고
로이터와 테크크런치 등 외신에 따르면, 이번 유출은 아마존에서 호스팅하는 GraphQL 엔드포인트의 보안 취약점에서 비롯됐다. UStrive에 로그인한 사용자가 사이트를 탐색할 때 발생하는 네트워크 트래픽을 분석하면, 브라우저 도구를 통해 다른 사용자의 개인정보 스트림을 그대로 볼 수 있는 상태였다. 발견 당시 확인된 유출 레코드만 최소 23만 8천 개에 달한다.
| 구분 | 노출된 정보 항목 |
|---|---|
| 기본 정보 | 이름, 이메일 주소, 전화번호 |
| 민감 정보 | 성별, 생년월일 |
| 기타 | 사용자가 직접 입력한 비공개 프로필 정보 |
법적 분쟁과 책임 회피 사이의 사용자 안전
사태가 심각함에도 불구하고 UStrive 측의 대응은 미온적이다. 사측 법률 대리인은 현재 전직 소프트웨어 엔지니어와 소송 중이라는 이유로 구체적인 답변을 피하고 있다. 특히 피해 사용자들에게 이번 사고를 공식적으로 고지할 계획이 있는지에 대해서도 명확한 입장을 밝히지 않았다. 최고기술책임자(CTO)는 문제가 조치 완료되었다고만 짧게 답했을 뿐, 악의적인 접근이 있었는지에 대한 확인 여부는 공개하지 않았다.
본 콘텐츠는 AI가 원문 기사를 기반으로 요약 및 분석한 것입니다. 정확성을 위해 노력하지만 오류가 있을 수 있으며, 원문 확인을 권장합니다.
관련 기사
일론 머스크의 DOGE 위원들이 사회보장번호를 무단 열람해 선거 결과를 전복하려 했다는 법원 문서가 공개되었습니다. 2024년 대선 부정 증거를 찾기 위해 개인정보를 유출한 혐의입니다.
2026년 기후 기술 트렌드와 디지털 감시의 실태를 조명합니다. 소듐 이온 배터리, 차세대 원전 등 에너지 혁신과 시티즌 랩의 사이버 보안 활동을 다룹니다.
2026년 1월, AI가 인간도 모르는 제로데이 취약점을 스스로 탐지하며 보안 업계에 충격을 주고 있습니다. Claude 4.5의 사례를 통해 AI 제로데이 보안 취약점 탐지 기술의 현주소를 분석합니다.
Bluspark Global 보안 결함으로 인해 2007년부터 누적된 글로벌 물류 데이터가 노출되었습니다. 평문 비밀번호와 인증 없는 API 사용 등 치명적인 취약점의 실태를 분석합니다.
일론 머스크의 DOGE 위원들이 사회보장번호를 무단 열람해 선거 결과를 전복하려 했다는 법원 문서가 공개되었습니다. 2024년 대선 부정 증거를 찾기 위해 개인정보를 유출한 혐의입니다.
2026년 기후 기술 트렌드와 디지털 감시의 실태를 조명합니다. 소듐 이온 배터리, 차세대 원전 등 에너지 혁신과 시티즌 랩의 사이버 보안 활동을 다룹니다.
2026년 1월, AI가 인간도 모르는 제로데이 취약점을 스스로 탐지하며 보안 업계에 충격을 주고 있습니다. Claude 4.5의 사례를 통해 AI 제로데이 보안 취약점 탐지 기술의 현주소를 분석합니다.
Bluspark Global 보안 결함으로 인해 2007년부터 누적된 글로벌 물류 데이터가 노출되었습니다. 평문 비밀번호와 인증 없는 API 사용 등 치명적인 취약점의 실태를 분석합니다.