--- url: 'https://www.corbado.com/ko/blog/optus-data-breach' title: 'Optus 데이터 유출은 어떻게 발생했으며 어떻게 피할 수 있을까?' description: '1,000만 명의 고객에게 피해를 입힌 2022년 Optus 데이터 유출 사고의 핵심 보안 결함을 살펴보고, API 보안 및 강력한 인증 프로토콜과 같은 모범 사례를 알아보세요.' lang: 'ko' author: 'Vincent Delitz' date: '2026-05-27T09:33:42.698Z' lastModified: '2026-05-27T09:34:31.663Z' keywords: 'Optus, Optus 데이터 유출, 호주 사이버 공격, 호주 데이터 프라이버시, API 취약점, 유출 방지' category: 'Authentication' --- # Optus 데이터 유출은 어떻게 발생했으며 어떻게 피할 수 있을까? ## Key Facts - 인터넷의 누구나 최대 3개월 동안 **보안되지 않은 공개 API**에 접근할 수 있었으며, 이를 통해 거의 1,000만 명에 달하는 Optus 고객의 민감한 데이터를 직접 검색할 수 있었습니다. - **순차적인 고객 식별자**(예: 5332, 5333)를 통해 공격자는 간단한 스크립트로 전체 데이터베이스 유출을 자동화하여 유출 규모와 속도를 가속화했습니다. - 2018년의 **코딩 오류**로 인해 접근 제어가 약화되었고, 2021년 8월까지 메인 Optus 사이트에서는 패치되었지만 보조 도메인에는 적용되지 않아 2022년 유출 사고 발생 시점까지 계속 노출되어 있었습니다. - OWASP에 따르면 **인증되지 않은 API**는 두 번째로 흔한 취약점입니다. 악용을 방지하기 위한 권장 대응책으로는 모든 연결 요청에 대한 다중 요소 인증(MFA)과 모의 해킹(penetration testing)이 있습니다. ## 1. 소개 2022년 9월, 호주를 선도하는 통신 제공업체 중 하나인 Optus에서 거의 1,000만 명에 달하는 고객의 개인 정보가 노출되는 데이터 유출 사고가 발생했습니다. 이 사건은 호주 역사상 가장 큰 사이버 공격 중 하나로 기록되었으며, 데이터 프라이버시 및 보안 관행에 대한 큰 우려를 불러일으켰습니다. ![optus breach map](https://www.corbado.com/website-assets/optus_breach_5f928dbf73.jpg) 이 기사에서는 다음 질문에 중점을 둘 것입니다. - 데이터 유출로 이어진 Optus의 보안 결함은 무엇이었나? - Optus가 보안 침해를 피하기 위해 사용할 수 있었던 대응 방법에는 어떤 것들이 있나? ## 2. Optus 데이터 유출로 이어진 보안 결함 다음은 Optus의 데이터 유출에서 나타난 5가지 보안 결함입니다. ### 2.1 보안 결함 #1: 노출된 공개 API Optus 유출의 첫 번째 주요 보안 결함은 민감한 내부 데이터에 대한 접근을 촉진하는 공개 API(응용 프로그래밍 인터페이스)의 사용이었습니다. 공개 API는 외부 시스템이 회사의 서비스와 상호 작용할 수 있도록 설계되었지만, 이러한 API가 적절하게 보호되지 않으면 공격자의 진입점이 될 수 있습니다. **공개 API는 어떤 용도로 사용되나요?** Google 지도 API나 날씨 API와 같은 안전한 공개 API는 외부 시스템에 민감하지 않은 제한적인 데이터를 제공합니다. 공유된 데이터가 핵심 비즈니스 운영과 분리되도록 설계되어 본질적으로 더 안전합니다. **이 경우 공개 API가 왜 문제가 되었나요?** [안전한 API](https://www.wiz.io/academy/api-security-best-practices)와 달리, Optus API는 민감한 고객 정보를 노출시켰고 필수적인 보호 장치가 부족했습니다. 이로 인해 인터넷 스캔을 통해 취약점을 찾아낸 공격자들의 표적이 되었습니다. **공격자는 어떻게 이 API를 악용할 수 있었나요?** 인증이나 데이터 격리 없이, 공격자는 API에 직접 연결하여 내부 보안 조치를 우회하고 기밀 고객 정보를 탈취할 수 있었습니다. ### 2.2 보안 결함 #2: 민감한 고객 데이터에 대한 접근을 허용하는 보안되지 않은 API Optus 데이터 유출의 두 번째 주요 보안 결함은 **API가 보안되지 않았다는 점**입니다. 이로 인해 매우 민감한 고객 데이터에 대한 접근이 허용되었습니다. 첫 번째 문제가 API가 외부에 공개되었다는 점을 중심으로 전개된 반면, 여기서 치명적인 문제는 적절한 접근 제어가 부족하여 기밀 정보에 제한 없이 접근할 수 있었다는 점입니다. Optus 고객이 Optus 모바일 앱이나 웹사이트를 통해 자신의 계정에 접근할 때, API는 필요한 데이터를 검색하기 위해 프런트엔드와 백엔드 시스템 간의 통신을 촉진합니다. 이러한 백엔드 프로세스는 종종 고객 프로필을 로드하기 위해 민감한 정보를 처리합니다. 이 사건에서, 노출된 API는 공격자에게 다음 유형의 개인 데이터에 직접 접근할 수 있게 했으며, 이는 신원 도용 및 사기에 특히 가치가 높습니다. • 운전면허증 번호 • 전화번호 • 생년월일 • 집 주소 이후 공개 DNS(Domain Name System) 레코드를 분석한 결과, 이 API가 공개되어 있었고 인터넷의 누구나 최대 3개월 동안 접근할 수 있었을 가능성이 높은 것으로 나타났습니다. ### 2.3 보안 결함 #3: 증가하는 형태의 고객 식별자 사용 Optus 데이터 유출의 세 번째 보안 결함은 값이 증가하는 방식의 고객 식별자를 사용한 것입니다. 디지털 환경에서 고유한 고객 식별자(숫자와 문자의 무작위 시퀀스로 구성)는 계정을 안전하게 구분하는 데 사용됩니다. **최고의 사이버 보안 관행에 따르면 이러한 식별자는 해커가 패턴을 식별하지 못하도록 무작위이고 연관성이 없어야 합니다.** **Optus 고객 식별자**: 이 경우, 고객 식별자는 1씩 증가하는 예측 가능한 패턴을 따랐습니다. 예를 들어 한 고객의 식별자가 5332라면, 다음 고객은 5333이었습니다. 해커가 데이터베이스에 접근 권한을 얻은 후에는 식별자를 증가시키기만 하면 모든 레코드를 검색할 수 있는 자동화 스크립트를 작성할 수 있었습니다. 이러한 자동화된 접근 방식은 데이터 탈취 프로세스를 가속화하여 공격자가 대규모로 민감한 고객 데이터를 유출할 수 있게 했습니다. 이 예측 가능한 설계 결함 덕분에 Optus 유출 사건은 다른 경우보다 더 빠르고 더 많은 고객에게 피해를 입힐 수 있었습니다. ### 2.4 보안 결함 #4: 코딩 오류로 인한 접근 제어 약화 API 및 고객 ID 취약점 외에도 더 많은 보안 문제가 있었습니다. 2018년에 **코딩 오류로 인해 특정 Optus 도메인에 대한 접근 제어가 약화**되어 보안이 취약해졌습니다. Optus는 2021년 8월에 메인 웹사이트에서 이 문제를 해결했지만, 인터넷에 노출된 보조 웹사이트에는 동일한 수정 사항을 적용하지 못했습니다. 이 보조 도메인은 2022년 9월 유출 사건이 발견될 때까지 계속 취약한 상태로 방치되어 있었습니다. 이러한 실수는 중대한 보안 공백을 남겼습니다. 공개 도메인은 공격자의 일반적인 표적이며 패치되지 않은 결함은 무단 접근의 위험을 증가시킵니다. 이 경우 코딩 오류로 인해 공격자는 접근 제어를 우회하고 민감한 데이터에 접근할 수 있었습니다. 보조적이거나 눈에 덜 띄는 도메인을 간과하면 공격자가 쉽게 악용할 수 있는 심각한 취약점이 노출될 수 있습니다. 정기적인 감사와 철저한 테스트를 통해 필요한 모든 곳에 보안 업데이트가 적용되도록 하는 것이 중요합니다. ### 2.5 보안 결함 #5: 취약한 보조 도메인 이러한 적절한 관리 감독의 부재는 이번 유출 사고에서 핵심적인 역할을 한 보조 도메인으로까지 이어졌습니다. 이 도메인은 적극적으로 사용되지는 않았지만, 장기간 동안 보호받지 못한 채 온라인 상태로 유지되었습니다. 일상적인 운영에 필요하지 않았음에도 불구하고 적절한 접근 제어를 통해 보안을 유지하거나 폐기하지 않아, 공격자가 악용할 수 있는 쉬운 진입점을 만들어주었습니다. 적극적으로 사용되지 않을 때조차 이러한 도메인은 취약점이 존재하는 경우 여전히 공격 벡터 역할을 할 수 있습니다. 이러한 위험을 완화하려면 기업은 정기적으로 디지털 자산을 감사하고, 사용하지 않는 도메인을 신속하게 폐기하거나, 활성 시스템과 동일한 수준의 보안을 적용해야 합니다. ## 3. 이러한 데이터 유출을 방지하는 방법은? Optus 해킹과 유사한 데이터 유출 사고를 방지하고 평판 훼손의 위험을 완화하기 위해 기업은 다음과 같은 다양한 보안 전략을 채택할 수 있습니다. ### 3.1 대응책 #1: OWASP API Security Project 참고 OWASP API Security Project는 알려진 API 보안 위험을 강조하여 정기적으로 업데이트되는 리소스입니다. 사이버 보안 팀이 비즈니스에 영향을 미칠 수 있는 취약점을 식별하고 해결하기 위해 정기적으로 이 데이터베이스를 모니터링하는 것이 필수적입니다. 이는 다음을 포함하여 광범위한 잠재적 위험을 다룹니다. - **손상된 객체 수준 권한 부여(Broken Object Level Authorization, BOLA):** 승인되지 않은 데이터 접근을 허용하는 사용자 접근 권한의 허점. - **과도한 데이터 노출(Excessive Data Exposure):** API가 필요한 것보다 많은 정보를 반환하여 민감한 데이터 유출 위험을 증가시킴. - **보안 구성 오류(Security Misconfigurations):** 민감한 API를 공격에 노출시키는 잘못 조정된 설정이나 기본값. - **인젝션 결함(Injection Flaws):** 공격자가 API를 악용하여 악성 명령이나 데이터를 주입함. ### 3.2 대응책 #2: 모든 API에 인증 프로토콜을 적용하여 보안 유지 OWASP API Security Project는 **인증되지 않은 API를 두 번째로 흔한 API 취약점**으로 강조합니다. 이러한 API는 연결을 설정하기 위해 사용자 이름, 비밀번호 또는 기타 인증 방식을 요구하지 않으므로 악용에 매우 취약합니다. 이러한 유형의 약점은 Optus 데이터 유출에서 중심적인 역할을 했습니다. 경우에 따라 기존 시스템과의 호환성을 유지하거나 테스트 목적으로 API를 의도적으로 인증되지 않은 상태로 둡니다. Optus가 유사한 이유로 API를 인증되지 않은 상태로 두었을 가능성이 높습니다. 그러나 테스트나 기존 시스템 요구 사항이 아무리 중요하더라도, 내부용이든 공개용이든 관계없이 인증 없는 API를 배포하는 것은 심각한 보안 위험입니다. **인증되지 않은 API 악용을 방지하는 방법** API를 보호하려면 모든 연결 요청이 **다중 요소 인증(MFA)**으로 안전하게 보호되어야 합니다. MFA는 여러 형태의 확인을 요구하여 추가적인 보호 계층을 제공하며, API 및 사용자 계정에 대한 무단 접근을 차단하는 가장 효과적이고 간단한 방법 중 하나입니다. **숨겨진 API 취약점 식별** API 보안 정책은 보호가 필요한 모든 API가 고려될 때만 효과적입니다. 하지만 Optus의 경우처럼 공개 API에 의해 기업이 자신도 모르게 노출된다면 어떻게 될까요? 숨겨지거나 간과된 API는 표준 스캐닝 도구로 감지하기 어렵습니다. 이를 발견하는 가장 효과적인 방법은 **모의 해킹(penetration testing)**을 통해 다음과 같은 취약점을 노출시키는 것입니다. - **취약한 인증 메커니즘:** 일반 텍스트 암호나 잘못 해시된 자격 증명을 허용하는 시스템. - **크리덴셜 스터핑(credential stuffing) 또는 무차별 대입 공격(brute force attacks)에 대한 노출:** 도난당한 사용자 이름과 암호를 대규모로 악용. - **API 매개변수 조작:** URL 또는 응답에 민감한 인증 세부 정보 노출. ## 4. 결론 결론적으로, Optus 데이터 유출 사건은 강력한 사이버 보안 조치를 시행하고 디지털 자산을 정기적으로 감사하는 것이 얼마나 중요한지 강조합니다. API를 보호하지 못하고, 적절한 인증 프로토콜을 시행하지 않으며, 보조 도메인의 간과된 취약점을 해결하지 못한 것이 이번 사건에 크게 기여했습니다. OWASP API Security Project에 요약된 것과 같은 업계 모범 사례를 채택하고 포괄적인 보안 전략을 우선시함으로써, 기업은 이와 유사한 유출 사고를 방지하고 민감한 고객 데이터를 보호하며 무엇보다도 사용자의 신뢰를 유지할 수 있습니다. ## 자주 묻는 질문(FAQ) ### Optus 유출 사고에서 어떤 개인 데이터가 도난당했으며 왜 그렇게 위험한가요? 노출된 API를 통해 공격자는 운전면허증 번호, 전화번호, 생년월일 및 집 주소에 직접 접근할 수 있었습니다. 이러한 데이터 유형은 신원 도용 및 사기에 특히 가치가 높기 때문에, 이번 유출은 피해 고객에게 특히 치명적이었습니다. ### 애초에 기업이 왜 API를 인증 없이 방치하는 건가요? API는 기존 시스템과의 호환성을 유지하거나 테스트 목적으로 의도적으로 인증되지 않은 상태로 남겨두기도 하는데, Optus의 경우도 마찬가지였을 가능성이 높습니다. 그러나 운영상의 이유와 관계없이 내부용이든 공개용이든 인증 없이 API를 배포하는 것은 상당한 보안 위험을 초래합니다. ### 보안 팀이 공격자가 악용하기 전에 숨겨지거나 간과된 API를 어떻게 발견할 수 있나요? 표준 스캐닝 도구는 숨겨지거나 간과된 API를 감지하는 데 어려움을 겪습니다. 가장 효과적인 접근 방식은 모의 해킹(penetration testing)으로, 취약한 인증 메커니즘, 크리덴셜 스터핑(credential stuffing) 공격에 대한 노출, URL이나 API 응답에 노출된 민감한 인증 세부 정보를 파악할 수 있습니다. ### OWASP API Security Project는 무엇이며 Optus와 같은 유출 사고를 방지하는 데 어떤 도움이 되나요? OWASP API Security Project는 손상된 객체 수준 권한 부여(BOLA), 과도한 데이터 노출, 보안 구성 오류 및 인젝션 결함과 같은 알려진 API 보안 위험을 분류하여 정기적으로 업데이트되는 리소스입니다. 사이버 보안 팀은 공격자가 악용하기 전에 취약점을 식별하고 해결하기 위해 정기적으로 이를 모니터링해야 합니다.