씨디네트웍스 ‘2022 웹 애플리케이션 및 API 보안 보고서’ 최근 발표
OTT 콘텐츠에 이어 인터넷 강의(이하 인강) 영상이 온라인에 무차별 유출되며 교육업계에 비상이 걸린 가운데 씨디네트웍스가 이에 대한 원인과 인사이트를 제시했다.8월 1일 유명 인강 플랫폼 2곳이 해킹을 당해 온라인 교육 비즈니스의 핵심 자산인 인강 영상이 불법 유출되는 일이 벌어졌다. 유출 영상은 텔레그램 채널 ‘누누스터디’를 통해 공개됐으며 인기 강사의 이름과 아이디, 비밀번호, 휴대전화 번호 등 500여명의 개인정보도 함께 공개됐다.
누누스터디 채널 운영자는 “해당 플랫폼 가입자 전부 다 털었다”며 “보안이 허술해서 인증 번호가 API로 넘어온다”고 주장했다.이번 유출이 기존과 다른 점은 불법 유출·녹화의 타깃이 OTT 업체 등의 영화, 드라마에서 인터넷 강의로 바뀌었다는 것이다. 콘텐츠 제작 및 배포 비즈니스에서 콘텐츠는 주요 자산이자 핵심 비즈니스다. 따라서 이번 인터넷 강의 및 개인 정보 유출 수사와 별개로 해당 비즈니스에는 적절한 보안 조치와 개선안이 촉구될 것으로 보인다.
◇ 최근 사이버 공격 트렌드와 콘텐츠 무단 유출의 원인
씨디네트웍스가 최근 발표한 ‘2022 웹 애플리케이션 및 API 보안 보고서’에 따르면, 지난 한 해 동안 API 비즈니스를 대상으로 한 공격은 빠르게 확대돼 전체 공격의 약 58.4%를 차지했다. 특히 영화, TV 및 미디어 산업은 조사 분야에서 4번째로 많이 API 공격을 당했다.
API는 소프트웨어 시스템의 서로 다른 구성 요소를 연결하는 방법이다. 공격자들은 API 공격으로 민감한 데이터에 접근하거나 데이터를 변조하는 등 기업 자산에 심각한 피해를 줄 수 있다. 씨디네트웍스 보안팀은 API 공격 급증의 주요 원인으로 ‘비용 효과적인 공격 방법’과 ‘API 애셋에 대한 기업의 불명확한 이해’를 지목했다. 이런 취약점은 공격자들이 API 비즈니스를 공격하기 위해 이용하며 △부적절한 신원 확인 및 액세스 제어 △민감 정보 도용 △무차별 대입 공격(크리덴셜 스터핑) △API 파라미터 오염 △리플레이 공격 등의 형태로 무단 액세스 및 콘텐츠 유출이 이뤄질 수 있다.
◇ 콘텐츠 보안의 핵심 기능
이처럼 디지털 미디어 불법 복제가 증가함에 따라 DRM(디지털 권리 관리)은 콘텐츠 제작자, 배포자에게 필수 도구로 자리매김하고 있다. 이를 위해 씨디네트웍스는 콘텐츠 무단 유출 방지를 위한 자체 플레이어 ‘아쿠아n플레이어’를 제공하고 있으며, 해당 솔루션은 2015년 출시돼 사용자 편의성 및 강력한 보안 기능으로 여러 고객에게서 검증을 마쳤다.
아쿠아n플레이어는 다양한 사용자 환경과 유료 콘텐츠 보안을 핵심으로 하며, 멀티 플랫폼과 크로스 브라우징을 지원해 사용자들에게 편의를 제공한다. 또 △아쿠아 Auth △아쿠아 DRM △아쿠아 Director를 사용해 1차, 2차, 3차 보안까지 3중 방어로 강력한 보안 기능을 자랑한다.
씨디네트웍스는 최근 디지털 플랫폼 보안 선도기업 어데토와 파트너십을 발표하고, 비디오 비즈니스를 위한 원스톱 디지털 콘텐츠 보호 기능을 제공한다고 밝혔다. 이를 통해 플랫폼에 내장된 DRM 기능을 적용함으로써 더 강화된 보안 서비스를 제공할 수 있게 됐다.
씨디네트웍스 보안 책임자(CSO) 이재춘 이사는 “씨디네트웍스는 단순히 콘텐츠를 전송하는 역할에서 끝나는 것이 아니라, 고객 콘텐츠를 안전하게 보호하는 것을 목표로 한다”며 “씨디네트웍스 고객의 모든 콘텐츠는 아쿠아n플레이어로 안전하게 보호되고 있다”고 말했다.
