딥씨크, 100만 줄 이상의 채팅 기록 유출 사고 발생
최근 인공지능 스타트업 딥씨크(DeepSeek)에서 무려 100만 줄이 넘는 채팅 기록과 민감 정보가 담긴 데이터베이스가 외부에 노출되는 사건이 발생했습니다. 사이버 보안 연구 기관인 위즈(Wiz)의 연구원들이 발견한 이 데이터베이스는 클릭하우스(ClickHouse)라는 시스템으로, 놀랍게도 아무런 보안 조치 없이 공개되어 있었습니다.
순식간에 뚫린 보안, 데이터 탈취 가능성
위즈 측에 따르면, 데이터베이스는 단 몇 분 만에 뚫렸다고 합니다. 연구진은 윤리적인 이유로 데이터베이스를 깊이 파고들지는 않았지만, 만약 악의적인 공격자였다면 딥씨크 시스템 내에서 권한을 상승시켜 민감한 로그, 채팅 메시지, 비밀번호, 로컬 파일 등을 인증 절차 없이 손쉽게 얻을 수 있었을 것이라고 경고했습니다.
R1 추론 모델의 인기 뒤에 숨겨진 보안 허점
이번 취약점 발견은 위즈가 최근 딥씨크의 R1 추론 모델에 대한 높은 관심과 언론 보도를 접한 후, 딥씨크의 외부 보안 상태를 점검하는 과정에서 이루어졌습니다. 기본적인 검색만으로 클릭하우스 데이터베이스가 노출된 것을 확인했고, 클릭하우스 HTTP 인터페이스를 통해 데이터에 접근할 수 있었다고 합니다.
연구진은 SHOW TABLES; 쿼리를 실행하여 접근 가능한 데이터 세트 목록을 확인했고, 그중 “log_steam” 테이블에서 문제의 민감 정보들을 발견했습니다.
인공지능 개발 속도 경쟁, 보안 리스크 증폭
위즈는 보고서를 통해 인공지능 기술 개발 경쟁이 가속화되면서, 기업들이 제품을 빠르게 출시하고 통합하려는 압박을 받고 있으며, 이러한 과정에서 위험한 보안 관행이 나타날 수 있다고 지적했습니다. 인공지능 프로그램들이 점점 더 중요하고 민감한 데이터를 다루게 되면서, 업계는 클라우드 서비스 제공업체나 주요 인프라 제공업체 수준의 강력한 보안 체계를 갖춰야 한다고 강조했습니다.
이번 딥씨크의 데이터 유출 사고는 빠르게 발전하는 인공지능 분야에서 보안의 중요성을 다시 한번 일깨워 주는 사례로 남을 것 같습니다.