[데이원컴퍼니(패스트캠퍼스·마이라이트·콜로소)] 깃허브 키 탈취 및 클라우드 인증정보 노출로 인한 개인정보 유출 사고_2026년 06월

패스트캠퍼스·마이라이트·콜로소 등을 운영하는 데이원컴퍼니에서 깃허브(GitHub) 마스터 계정 키값 탈취와 클라우드 인증정보 노출로 인해 고객 개인정보가 유출되는 사고가 발생했다. 유출된 정보에는 이름, 이메일 주소, 전화번호, 암호화된 비밀번호가 포함되며, 일부 고객의 경우 주소와 직무·직책 정보까지 유출된 것으로 확인됐다. 회사는 보안 사고 인지 직후 관련 위협을 차단하고 권한·토큰 제거 및 OTP 적용 등의 조치를 시행했으며 관계기관에 신고했다고 밝혔다.

□  개요 

   2026년 06월 08일 데이원컴퍼니는 시스템 내 보안 사고 정황을 인지하고 조사에 착수했으며, 조사 결과 고객 개인정보 유출 사실을 확인했다고 공지했다. 회사 설명에 따르면 이용 중인 GitHub 서비스의 마스터 계정 키값이 불상의 시점에 탈취됐고, 이를 통해 서비스 침입이 발생한 것으로 파악됐다.
    유출된 정보는 이름, 이메일 주소, 전화번호, 암호화된 비밀번호 등이며, 주소와 직무·직책 정보를 입력한 고객의 경우 해당 정보도 유출된 것으로 확인됐다. 또한 내부 API 키와 Google Cloud Platform 인증정보가 최초 노출된 것으로 추정되며, 회사는 관련 권한 제거, 토큰 폐기, OTP 적용 등의 긴급 조치를 시행했다.

 

□  사고내용 요약  

    1. 회사명 : 데이원컴퍼니(패스트캠퍼스·마이라이트·콜로소)
    2. 사고유형
        -  GitHub 마스터 계정 키 탈취 사고
        -  클라우드 인증정보 노출 사고
        -  외부 공격에 따른 개인정보 유출 사고
    3. 유출규모
        - 조사 중
        - 정확한 유출 인원 및 규모 미공개
    4. 유출항목
        - 이름
        - 이메일 주소
        - 전화번호
        - 암호화된 비밀번호
        - 주소(입력 고객 대상)
        - 직무·직책 정보(입력 고객 대상)

    5. 특이사항
        - GitHub 마스터 계정 키값 탈취 정황 확인
        - 내부 API 키 및 Google Cloud Platform 인증정보 노출 추정
        - 외부 공격에 의한 침입으로 판단
        - 암호화된 비밀번호 형태로 저장되어 있었음
        - 과학기술정보통신부 및 한국인터넷진흥원(KISA) 에 신고 완료
        - 초기 홈페이지 공지 부재로 이용자 불안 제기

□  사고대응 타임라인  

    - 2026년 06월 02일~03일
        . 신원불상의 공격자가 공격 수행한 것으로 추정
        . 내부 API 키 및 GCP 인증정보 노출 정황 발생

    - 2026년 06월 08일 15:30경
        . 보안 사고 발생 가능성 인지
        . 즉시 조사 착수 및 관련 위협 차단

    - 2026년 06월 08일 20:00경
        . 개인정보 유출 사실 최종 확인
        . 긴급 보완 조치 수행

    - 2026년 06월 09일~10일
        . GCP 내 사용자 계정 키 및 주요 권한 제거
        . GitHub 사용자 계정 및 토큰 제거
        . OTP(일회용 비밀번호) 적용
        . 과학기술정보통신부 및 한국인터넷진흥원(KISA)에 침해사고 신고

    - 2026년 06월 11일
        . 고객 대상 개인정보 유출 사실 통지 공지 게시
        . 외부 분석 업체를 통한 피해 분석 진행 계획 발표

□  개인정보 유출 관련 홈페이지 안내   

 

□  대응내역  

    - 보안 사고 정황 인지 직후 조사 착수
    - 관련 위협 즉시 차단
    - Google Cloud Platform 사용자 계정 키 및 주요 권한 제거
    - GitHub 사용자 계정 및 토큰 제거
    - OTP(일회용 비밀번호) 적용
    - 과학기술정보통신부 침해사고 신고
    - 한국인터넷진흥원(KISA)  신고
    - 내부 및 외부 분석 업체를 통한 피해 분석 진행
    - 고객 대상 개인정보 유출 사실 통지

□ 재발방지대책(권고사항)   

    1. 기술적 조치
       - GitHub 및 클라우드 계정 다중인증(MFA) 의무화
       - API 키·인증정보 비밀관리 시스템(Secret Manager) 도입
       - 저장소 내 키·토큰 자동 탐지 및 차단(DLP/Secret Scanning) 적용
       -  클라우드 권한 최소화(Least Privilege) 정책 시행
       - 접근 로그 실시간 모니터링 및 이상행위 탐지 강화
       - 정기적인 키 회전(Key Rotation) 정책 적용
       - 소스코드 저장소 접근통제 강화
       - 정기 모의해킹 및 취약점 점검 수행

    2. 관리적 조치
       - 개발자 보안 교육 및 자격증명 관리 교육 강화
       - 클라우드·개발환경 보안 정책 재정비
       - 외부 위탁 서비스 및 계정 관리 절차 점검
       - 침해사고 대응 프로세스 고도화
       - 개인정보 접근 권한 정기 점검
       - 보안 감사 및 운영 실태 점검 강화
       - 고객 대상 피싱·스미싱 예방 안내 강화

□  관련기사(출처)  

• [단독] 온라인 강의 플랫폼 '패스트캠퍼스'도 개인정보 유출 - 연합뉴스TV
• 데이원컴퍼니도 개인정보 유출…"규모 파악 중" - 지디넷코리아

 

감사합니다.