아이들의 정보가 통째로 노출됐다: UStrive 보안 사고의 전말
온라인 멘토링 플랫폼 UStrive에서 23만 개 이상의 사용자 정보가 노출되는 보안 사고가 발생했습니다. 취약한 GraphQL 엔드포인트를 통해 아이들의 이름, 연락처 등 민감 정보가 유출되었습니다.
미래의 인재를 보호해야 할 멘토링 플랫폼이 오히려 아이들의 안전을 위협했다. 온라인 멘토링 사이트인 UStrive에서 미성년자를 포함한 사용자 수십만 명의 개인정보가 노출되는 심각한 보안 사고가 발생했다. 로그인한 사용자라면 누구나 타인의 민감한 정보에 접근할 수 있었던 이번 사태는 기술적 허점과 관리 부실이 겹쳐진 결과로 풀이된다.
취약한 GraphQL 엔드포인트가 부른 UStrive 보안 사고
로이터와 테크크런치 등 외신에 따르면, 이번 유출은 아마존에서 호스팅하는 GraphQL 엔드포인트의 보안 취약점에서 비롯됐다. UStrive에 로그인한 사용자가 사이트를 탐색할 때 발생하는 네트워크 트래픽을 분석하면, 브라우저 도구를 통해 다른 사용자의 개인정보 스트림을 그대로 볼 수 있는 상태였다. 발견 당시 확인된 유출 레코드만 최소 23만 8천 개에 달한다.
| 구분 | 노출된 정보 항목 |
|---|---|
| 기본 정보 | 이름, 이메일 주소, 전화번호 |
| 민감 정보 | 성별, 생년월일 |
| 기타 | 사용자가 직접 입력한 비공개 프로필 정보 |
법적 분쟁과 책임 회피 사이의 사용자 안전
사태가 심각함에도 불구하고 UStrive 측의 대응은 미온적이다. 사측 법률 대리인은 현재 전직 소프트웨어 엔지니어와 소송 중이라는 이유로 구체적인 답변을 피하고 있다. 특히 피해 사용자들에게 이번 사고를 공식적으로 고지할 계획이 있는지에 대해서도 명확한 입장을 밝히지 않았다. 최고기술책임자(CTO)는 문제가 조치 완료되었다고만 짧게 답했을 뿐, 악의적인 접근이 있었는지에 대한 확인 여부는 공개하지 않았다.
본 콘텐츠는 AI가 원문 기사를 기반으로 요약 및 분석한 것입니다. 정확성을 위해 노력하지만 오류가 있을 수 있으며, 원문 확인을 권장합니다.
관련 기사
2012년 전 기기를 잃은 한 기자의 경험에서 시작해, 기술과 범죄의 끝없는 추격전을 들여다본다. 과연 우리는 더 안전해졌을까?
독일 서버에서 발견된 초대형 개인정보 유출 사건. 30억 개 이메일과 27억 개 주민등록번호급 데이터가 무방비 상태로 노출되어 있었다.
최초의 AI 주도 산업스파이 사건 이후, 기업들이 AI 에이전트 위험을 어떻게 통제해야 하는지 8단계 실행 가이드를 제시한다.
일론 머스크의 DOGE 위원들이 사회보장번호를 무단 열람해 선거 결과를 전복하려 했다는 법원 문서가 공개되었습니다. 2024년 대선 부정 증거를 찾기 위해 개인정보를 유출한 혐의입니다.
2012년 전 기기를 잃은 한 기자의 경험에서 시작해, 기술과 범죄의 끝없는 추격전을 들여다본다. 과연 우리는 더 안전해졌을까?
독일 서버에서 발견된 초대형 개인정보 유출 사건. 30억 개 이메일과 27억 개 주민등록번호급 데이터가 무방비 상태로 노출되어 있었다.
최초의 AI 주도 산업스파이 사건 이후, 기업들이 AI 에이전트 위험을 어떻게 통제해야 하는지 8단계 실행 가이드를 제시한다.
일론 머스크의 DOGE 위원들이 사회보장번호를 무단 열람해 선거 결과를 전복하려 했다는 법원 문서가 공개되었습니다. 2024년 대선 부정 증거를 찾기 위해 개인정보를 유출한 혐의입니다.
의견
이 기사에 대한 생각을 나눠주세요
로그인하고 의견을 남겨보세요