메인 콘텐츠로 이동하기
  1. 보안 시사 분석/
  2. 2026/
  3. Week 06/

Substack 데이터 유출 사건

·5697 자·12 분
Security-Issues-Analysis 데이터유출 스크래핑공격 탐지지연 API보안 매직링크 개인정보침해
목차

보안 사건 분석 보고서 #

1. 사건 개요 #

사건 명칭 #

Substack 데이터 유출 사건

발생 시기 #

  • 실제 침해: 2025년 10월
  • 탐지 시점: 2026년 2월 3일
  • 공개 통보: 2026년 2월 5일

피해 대상 #

Substack 플랫폼 사용자 약 70만 명

공격자 #

신원 미상

유출 데이터 #

이메일 주소, 전화번호, 내부 메타데이터

2. 사건 상세 분석 #

Substack 플랫폼 개요 #

Substack은 작가, 팟캐스터, 크리에이터가 구독자에게 직접 뉴스레터를 보내고 콘텐츠를 수익화할 수 있는 디지털 퍼블리싱 플랫폼이다. 최신 데이터에 따르면 약 3,500만 명의 구독자를 보유하고 있으며, 5,000만 개 이상의 활성 구독과 500만 개의 유료 구독을 기록하고 있다.

2025년 7월에는 BOND와 The Chernin Group 주도로 1억 달러의 시리즈 C 펀딩을 받았으며, a16z, Klutch Sports Group도 참여했다. 이는 플랫폼의 성장과 함께 보안 책임의 중요성이 커졌음을 의미한다.

사건 발견 경위 #

Substack CEO Chris Best가 사용자에게 보낸 이메일에 따르면, 회사는 2026년 2월 3일에 시스템 문제의 증거를 발견했다. 이 문제로 인해 무단 제3자가 2025년 10월에 제한된 사용자 데이터에 허가 없이 접근할 수 있었다.

사건 발견과 거의 동시에, 한 해커가 인기 사이버범죄 포럼에 Substack 사용자 데이터라고 주장하는 정보를 유출했다. 해커는 스크래핑을 통해 거의 70만 개의 레코드를 획득했다고 주장했으며, 공격이 noisy하여 회사가 빠르게 완화 조치를 구현했다고 설명했다.

유출된 데이터 범위 #

공식 통보에 따르면 유출된 데이터에는 이메일 주소, 전화번호, 기타 내부 메타데이터가 포함되었다. 다크 웹에 유출된 데이터베이스 분석에 따르면 실제로는 더 많은 정보가 포함된 것으로 보인다.

BreachForums에 유출된 데이터베이스에는 697,313개의 레코드가 포함되어 있었으며, 유출된 필드는 전체 이름, 이메일 주소, 전화번호, 사용자 ID, Stripe ID, 프로필 사진, 자기소개, 계정 생성 날짜, 소셜 미디어 핸들 등이 포함되었다.

공식 통보에서 명시적으로 언급되지 않은 사용자 ID와 Stripe ID의 포함은 실제 유출 범위가 공개된 것보다 광범위할 수 있음을 시사한다.

유출되지 않은 데이터 #

Substack은 신용카드 번호, 비밀번호, 기타 금융 정보는 접근되지 않았다고 명시했다. 이는 사용자에게 중요한 안심 요소이지만, 유출된 이메일 주소와 전화번호만으로도 피싱 및 스미싱 공격에 충분히 활용될 수 있다.

탐지 지연 #

사건의 가장 우려되는 측면은 4개월간의 탐지 지연이다. 침해가 2025년 10월에 발생했지만 2026년 2월 3일까지 발견되지 않았다. 이는 Substack의 보안 모니터링 및 탐지 역량에 대한 중대한 의문을 제기한다.

회사는 탐지 지연의 구체적인 이유를 공개하지 않았다. 또한 공격자로부터 랜섬 요구를 받았는지 여부도 명확하지 않다.

회사의 대응 #

Substack은 시스템 문제를 수정했으며 전면적인 조사를 수행하고 있다고 밝혔다. 향후 이러한 유형의 문제가 발생하지 않도록 시스템과 프로세스를 개선하는 조치를 취하고 있다고 했다.

CEO는 사용자에게 의심스러운 이메일이나 문자 메시지에 대해 각별히 주의할 것을 권고했다. 그러나 데이터가 악용되고 있다는 증거는 없다고 밝혔다. 다만, 회사가 남용을 탐지하기 위해 어떤 기술적 수단을 가지고 있는지는 명확하지 않다.

Substack의 인증 방식 #

Substack의 기본 접근 방식은 비밀번호가 아닌 매직 링크를 사용한다. 플랫폼은 이메일 주소를 사용하여 인증하며, 사용자 신원을 확인하기 위해 매직 링크를 보낸다. 이 방식은 비밀번호 침해 및 피싱 공격의 문제를 제거한다.

2023년 이전에 가입한 사용자는 여전히 비밀번호를 가지고 있을 수 있으며, 2026년에는 비밀번호 생성 옵션이 여전히 존재한다. 그러나 대부분의 사용자는 매직 링크 방식을 사용하기 때문에, 이번 침해에서 비밀번호가 유출되지 않은 것으로 보인다.

3. 근본 원인 분석 #

기술적 원인 #

시스템 취약점의 구체적 특성이 공개되지 않았다. Substack은 무단 접근을 허용한 시스템 문제가 무엇인지 명확히 밝히지 않았다. 가능성 있는 원인으로는 API 엔드포인트의 부적절한 접근 제어, 데이터베이스 쿼리에서의 취약점, 인증 또는 권한 부여 메커니즘의 결함 등이 있다.

해커가 공격을 noisy하다고 설명한 점은 스크래핑 활동이 비정상적인 트래픽 패턴을 생성했음을 시사한다. 그러나 이러한 패턴이 4개월간 탐지되지 않았다는 것은 실시간 모니터링 부족을 나타낸다.

데이터 접근 로깅 및 모니터링의 부족도 문제다. 대규모 데이터 접근 활동이 4개월간 탐지되지 않은 것은 적절한 로깅이나 이상 탐지 시스템이 없었음을 시사한다.

관리적 원인 #

보안 모니터링 프로세스의 부재가 주요 관리적 원인이다. 4개월간의 탐지 지연은 지속적인 보안 모니터링과 정기적인 보안 감사의 부재를 나타낸다.

사고 대응 계획의 부족도 문제였다. 회사가 침해를 어떻게 발견했는지, 왜 4개월이 걸렸는지에 대한 명확한 설명이 없다.

투명성 부족도 근본 원인 중 하나다. Substack은 침해의 기술적 세부사항, 영향을 받은 정확한 사용자 수, 탐지 지연 이유 등을 공개하지 않았다.

인적 원인 #

빠른 성장 과정에서의 보안 투자 부족이 인적 원인으로 작용했다. Substack은 2025년 7월에 1억 달러 펀딩을 받으며 빠르게 성장했지만, 보안 인프라 투자가 성장 속도를 따라가지 못한 것으로 보인다.

보안 문화의 부족도 문제였다. 데이터 보호를 최우선 순위로 하지 않는 조직 문화가 침해와 긴 탐지 지연을 초래했을 가능성이 있다.

4. 학습 포인트 #

탐지 지연의 심각성 #

4개월간의 탐지 지연은 가장 우려되는 측면이다. 침해가 발생한 2025년 10월부터 탐지된 2026년 2월까지, 공격자는 추가 데이터를 수집하거나 접근 권한을 확대할 수 있었다.

조기 탐지는 피해를 최소화하는 핵심 요소다. 침해를 빨리 발견할수록 공격자가 수집할 수 있는 데이터가 적고, 사용자가 자신을 보호하기 위한 조치를 빨리 취할 수 있다.

스크래핑 공격의 위험 #

해커가 스크래핑을 통해 데이터를 수집했다고 주장한 점은 주목할 만하다. 스크래핑은 정상적인 API 호출이나 웹 요청을 통해 대량의 데이터를 자동으로 수집하는 기법이다.

스크래핑 공격은 전통적인 해킹보다 탐지하기 어려울 수 있다. 정상적인 사용자 활동과 구분하기 어렵고, 속도 제한이 적절히 구현되지 않으면 대량의 데이터를 빠르게 수집할 수 있다.

메타데이터의 가치 #

이메일 주소와 전화번호는 민감한 금융 정보에 비해 덜 중요해 보일 수 있지만, 공격자에게는 여전히 높은 가치가 있다. 이러한 데이터는 타겟팅된 피싱 및 스미싱 캠페인에 사용될 수 있다.

Substack 사용자는 대부분 콘텐츠 크리에이터와 독자로 구성되어 있으며, 공격자는 Substack을 사칭하거나 특정 크리에이터를 사칭하여 신뢰성 있는 피싱 메시지를 작성할 수 있다.

내부 메타데이터의 포함도 우려된다. 공식 통보에서는 구체적으로 명시하지 않았지만, 계정 생성 날짜, 사용자 ID, Stripe ID 등이 유출되었다면 공격자가 사용자 행동 패턴을 분석하고 더 정교한 공격을 수행할 수 있다.

투명성의 중요성 #

Substack의 대응에서 가장 문제가 되는 부분은 투명성 부족이다. 영향을 받은 정확한 사용자 수, 침해의 기술적 세부사항, 탐지 지연 이유 등이 명확히 공개되지 않았다.

투명한 커뮤니케이션은 사용자 신뢰 회복에 필수적이다. 사용자가 무슨 일이 일어났는지, 자신의 데이터가 어떻게 영향을 받았는지, 회사가 어떤 조치를 취하고 있는지 명확히 이해할 수 있어야 한다.

매직 링크 인증의 장점 #

Substack의 매직 링크 인증 방식이 이번 침해에서 비밀번호 유출을 방지한 것은 긍정적이다. 전통적인 비밀번호 기반 인증에서는 비밀번호가 유출되어 계정 탈취로 이어질 수 있었을 것이다.

그러나 매직 링크 방식도 이메일 계정이 침해되면 취약해진다. 공격자가 사용자의 이메일 계정에 접근할 수 있다면, 매직 링크를 가로채어 Substack 계정에 접근할 수 있다.

5. 예방 및 완화 전략 #

즉각적 조치 #

영향을 받은 모든 사용자에게 즉시 통보해야 한다. 명확하고 투명한 커뮤니케이션으로 사용자가 자신의 데이터가 어떻게 영향을 받았는지 이해할 수 있도록 한다.

사용자에게 피싱 및 스미싱 공격에 대한 구체적인 경고와 가이드를 제공해야 한다. Substack을 사칭한 메시지의 특징과 의심스러운 링크를 클릭하지 않는 방법을 교육한다.

사용자에게 이메일 계정 보안 강화를 권고해야 한다. 이메일 계정에 2단계 인증을 설정하고, 비밀번호를 변경하며, 의심스러운 활동을 모니터링하도록 안내한다.

침해 모니터링 서비스 제공을 고려해야 한다. Have I Been Pwned와 같은 서비스를 통해 사용자가 자신의 데이터가 다른 침해에서도 노출되었는지 확인할 수 있도록 한다.

중장기 대책 #

포괄적인 보안 감사를 수행하여 모든 시스템 취약점을 식별하고 수정해야 한다. 제3자 보안 전문가를 고용하여 독립적인 평가를 받는다.

실시간 보안 모니터링 및 이상 탐지 시스템을 구현해야 한다. 비정상적인 데이터 접근 패턴, 대량 API 호출, 스크래핑 활동 등을 자동으로 탐지하고 경고한다.

API 속도 제한 및 접근 제어를 강화해야 한다. 단일 사용자 또는 IP 주소가 짧은 시간 내에 수행할 수 있는 요청 수를 제한하여 스크래핑 공격을 방지한다.

데이터 접근 로깅을 포괄적으로 구현해야 한다. 누가, 언제, 어떤 데이터에 접근했는지 상세히 기록하고 정기적으로 검토한다.

사고 대응 계획을 수립하고 정기적으로 테스트해야 한다. 침해 발생 시 신속하게 탐지, 대응, 복구할 수 있는 명확한 절차를 마련한다.

보안 인식 교육 프로그램을 강화해야 한다. 모든 직원이 보안 위협을 인식하고 적절히 대응할 수 있도록 정기적인 교육을 실시한다.

사용자를 위한 권고사항 #

Substack 관련 의심스러운 이메일이나 문자 메시지를 주의해야 한다. 링크를 클릭하기 전에 발신자를 확인하고, 의심스러운 경우 직접 Substack 웹사이트나 앱으로 이동한다.

이메일 계정 보안을 강화해야 한다. 강력하고 고유한 비밀번호를 사용하고, 2단계 인증을 활성화하며, 정기적으로 보안 설정을 검토한다.

신용 보고서를 모니터링해야 한다. Experian, ClearScore 등의 무료 도구를 사용하여 자신의 이름으로 새로운 계정이 개설되었는지 확인한다.

이메일 필터 및 전달 설정을 확인해야 한다. 공격자가 계정에 접근한 경우, 이메일을 모니터링하거나 전달하기 위해 필터나 전달 규칙을 설정할 수 있다.

6. 컨설팅 관점 적용 #

경영진 보고 #

데이터 침해의 비즈니스 영향을 경영진에게 명확히 전달해야 한다. 사용자 신뢰 손실, 규제 벌금 가능성, 브랜드 평판 훼손 등의 리스크를 설명한다.

Substack 사례를 통해 4개월간의 탐지 지연이 얼마나 심각한 문제인지 강조한다. 조기 탐지 시스템에 대한 투자가 장기적으로 비용 효율적임을 설명한다.

빠른 성장 과정에서도 보안을 최우선 순위로 해야 함을 권고한다. 보안 투자를 사후적 조치가 아닌 핵심 비즈니스 투자로 간주해야 한다.

기술팀 커뮤니케이션 #

API 보안 모범 사례를 기술팀과 공유한다. 속도 제한, 인증, 권한 부여, 입력 검증 등의 기술적 조치를 구체적으로 설명한다.

스크래핑 방지 기법을 논의한다. CAPTCHA, 행동 분석, IP 평판 검사 등의 기술을 활용하여 자동화된 데이터 수집을 탐지하고 차단한다.

로깅 및 모니터링 아키텍처를 설계하도록 지원한다. 어떤 이벤트를 로깅해야 하는지, 어떻게 이상을 탐지할 것인지 구체적인 가이드를 제공한다.

보안팀 가이드 #

SIEM 및 이상 탐지 솔루션 구현을 지원한다. 다양한 소스에서 로그를 수집하고 분석하여 의심스러운 패턴을 실시간으로 탐지하도록 한다.

침해 및 공격 시뮬레이션을 정기적으로 수행하도록 권고한다. 레드팀 활동과 침투 테스트를 통해 실제 공격 시나리오를 테스트한다.

데이터 보호 규정 준수를 확인한다. GDPR, CCPA 등의 데이터 보호 법규를 준수하고, 침해 시 적절한 통보 절차를 따르도록 한다.

7. 예상 질의응답 #

Q1: 내 데이터가 유출되었는지 어떻게 알 수 있나요? #

Substack으로부터 이메일 통보를 받았다면 영향을 받은 것입니다. 또한 Have I Been Pwned 웹사이트에서 이메일 주소를 검색하여 이번 침해 및 다른 침해에서 노출되었는지 확인할 수 있습니다. Substack 계정 설정에서 연결된 전화번호와 이메일 주소를 확인하고 필요 시 변경할 수 있습니다.

Q2: 비밀번호를 변경해야 하나요? #

Substack은 대부분의 사용자에게 매직 링크 인증을 사용하므로 Substack 비밀번호가 유출되지 않았습니다. 그러나 이메일 계정 비밀번호는 변경하고 2단계 인증을 활성화하는 것이 좋습니다. Substack과 동일한 비밀번호를 다른 서비스에서 사용하는 경우 해당 서비스의 비밀번호도 변경해야 합니다.

Q3: 피싱 공격을 어떻게 식별하나요? #

Substack을 사칭한 피싱 메시지는 긴급한 조치를 요구하거나, 의심스러운 링크를 클릭하도록 유도하거나, 개인 정보를 직접 요청할 수 있습니다. 발신자 이메일 주소를 주의 깊게 확인하고, 링크 위로 마우스를 올려 실제 URL을 확인하며, 의심스러운 경우 직접 Substack 웹사이트로 이동하여 확인해야 합니다.

Q4: 왜 침해가 4개월간 탐지되지 않았나요? #

Substack은 탐지 지연의 구체적인 이유를 공개하지 않았습니다. 가능한 원인으로는 실시간 보안 모니터링 부족, 로깅 및 이상 탐지 시스템의 부재, 정기적인 보안 감사 미실시 등이 있습니다. 이는 빠르게 성장하는 기업에서 보안 인프라가 성장 속도를 따라가지 못하는 일반적인 문제입니다.

Q5: Substack은 어떤 보상을 제공하나요? #

현재까지 Substack이 영향을 받은 사용자에게 신용 모니터링 서비스나 기타 보상을 제공한다는 공지는 없습니다. 회사는 시스템을 수정하고 향후 예방을 위한 조치를 취하고 있다고만 밝혔습니다. 사용자는 Substack에 직접 문의하여 추가 지원이나 보상을 요청할 수 있습니다.

8. 결론 #

Substack 데이터 유출 사건은 빠르게 성장하는 디지털 플랫폼에서 보안이 성장 속도를 따라가지 못할 때 발생할 수 있는 위험을 보여준다. 2025년 7월에 1억 달러 펀딩을 받으며 빠르게 확장하던 회사가 단 몇 개월 후 데이터 침해를 겪었다는 사실은 보안 투자의 중요성을 강조한다.

특히 우려되는 것은 4개월간의 탐지 지연이다. 침해가 2025년 10월에 발생했지만 2026년 2월까지 발견되지 않았다는 점은 적절한 보안 모니터링과 이상 탐지 시스템의 부재를 시사한다. 이는 공격자에게 추가 데이터를 수집하고 접근을 확대할 충분한 시간을 제공했다.

해커가 스크래핑을 통해 데이터를 수집했다고 주장한 점도 주목할 만하다. 스크래핑 공격은 정상적인 API 호출을 통해 이루어지기 때문에 전통적인 침입 탐지 시스템으로는 탐지하기 어려울 수 있다. 이는 API 보안, 속도 제한, 행동 분석의 중요성을 강조한다.

긍정적인 측면은 Substack의 매직 링크 인증 방식이 비밀번호 유출을 방지했다는 점이다. 전통적인 비밀번호 기반 시스템에서는 비밀번호가 침해되어 직접적인 계정 탈취로 이어질 수 있었을 것이다.

이 사건은 모든 조직이 실시간 보안 모니터링, 포괄적인 로깅, 정기적인 보안 감사, 명확한 사고 대응 계획을 갖춰야 함을 시사한다. 또한 사용자와의 투명한 커뮤니케이션이 신뢰 회복의 핵심임을 보여준다. 보안은 사후 대응이 아닌 사전 예방이 필수적이며, 이는 기술 투자뿐만 아니라 조직 문화와 프로세스의 변화를 요구한다.