[2026-04-21] 노션 이메일 유출: 4년간 방치된 버그로 모든 편집자 정보가 노출됨

 

 

 

오늘의 뉴스클리핑의 이슈는 바로 노션 이메일 유출 입니다 - !

 

 

 

 

 

 

 

 

 

 

 

 

노션 이메일 유출

 

이번 기사는 노션(Notion)의 공개 페이지 기능에서 발생하는 치명적인 개인정보 노출 및 API 취약점 문제를 다루고 있다. 사용자가 페이지를 웹에 공개하면, 해당 페이지를 작성하거나 수정한 편집자들의 고유 식별자(UUID)가 내부 데이터에 포함된 채 인증 없이 외부로 노출된다. 이 UUID는 취약한 API와 결합될 경우 실명, 프로필 사진, 이메일 주소 등 민감한 개인정보를 대량으로 유출하는 통로가 된다. 특히 이 문제는 2022년에 최초 보고되었음에도 노션 측의 초기 보안 설계 고려 부족과 안일한 대응으로 4년이라는 긴 시간 동안 방치되었다. 그 결과 수많은 기업의 직원 명부가 무방비로 노출되었으며, 2026년 현재 고도화된 AI 기술과 결합하여 대규모 스피어 피싱 공격에 악용될 수 있는 치명적인 보안 사고로 평가받고 있다.

 

 

 

 

-공격과정1

 

공격의 첫 번째 단계는 노션의 내부 데이터 구조를 악용하여 사용자 식별자인 UUID를 추출하고 수집하는 것이다. 공격자는 먼저 구글 검색 명령어 등을 활용하여 타겟 기업의 외부로 공개된 노션 페이지 링크를 확보하고 접속한다. 이후 브라우저 개발자 도구를 열어 네트워크 요청을 분석하면서 내부 API의 응답을 확인하게 된다. API 응답 내의 실제 데이터 구조를 살펴보면 특정 영역에서 페이지 작성자 또는 수정자의 UUID 값을 찾아낼 수 있다. 이러한 API 요청은 로그인이나 별도의 인증이 전혀 필요 없는 구조이기 때문에, 해커는 자동화된 스크립트를 이용하여 다수의 공개 페이지에서 타겟의 UUID를 순식간에 대량으로 수집하게 된다.

 

 

 

-공격과정2

두 번째 단계는 확보한 UUID를 실제 개인정보로 변환하고, 이를 최신 AI 기술과 결합하여 치명적인 공격으로 연결하는 과정이다. 공격자는 앞서 수집한 UUID를 기반으로 취약한 엔드포인트를 탐색하여 해당 식별자와 연결된 실명, 이메일 주소, 프로필 사진 등의 민감한 데이터를 반환받아 타겟 기업의 직원 디렉토리를 구축한다. 이렇게 탈취한 정보는 링크드인과 같은 공개 정보와 대조되어 대상의 직급과 소속 부서를 파악하는 데 사용된다. 정보 수집이 완료되면 공격자는 2026년의 고도화된 AI 시스템에 이 조직도 정보를 입력하여 기업 내부의 실제 업무 맥락이 완벽하게 반영된 가짜 피싱 이메일을 단 몇 분 만에 대량으로 생성해 낸다. 최종적으로 유효성이 검증된 직원들에게 사내 업무로 위장한 피싱 메일이 발송되며, 직원이 이를 클릭할 경우 기업 내부망 침해나 계정 탈취와 같은 실제적인 해킹 피해로 이어지게 된다.

 

 

-핵심내용

공격자는 페이지 소스코드(네트워크 응답)에서 숨겨진 UUID를 수집한 뒤, 이를 노션의 사용자 정보 조회 API에 입력값으로 전달했다. 노션 서버는 권한 확인 없이 이메일이 포함된 전체 사용자 데이터를 그대로 반환했고, 공격자는 이 과정을 스크립트로 자동화하여 페이지에 기여한 모든 사람의 이메일 목록을 통째로 뽑아낼 수 있었다. 보안 업계에서는 이를 IDOR(Insecure Direct Object Reference, 안전하지 않은 직접 객체 참조) 또는 BOLA(Broken Object Level Authorization, 손상된 객체 수준 권한 부여)라는 명칭의 매우 전형적이고 치명적인 취약점으로 분류한다.

 

 

 

-개인의견

이 사건은 기업의 보안 설계와 운영, 그리고 변화하는 위협 환경에 대해 여러 중요한 시사점을 남긴다. 우선 공개 페이지라 하더라도 UUID와 같은 내부 식별자나 불필요한 데이터가 외부로 노출되어서는 안 되며, 모든 API는 인증과 권한 검증을 전제로 설계되어 입력값만으로 민감한 정보를 반환하지 않도록 데이터 최소화 원칙을 지켜야 한다. 또한 4년 동안 취약점이 방치된 사실은 개발 과정에서 보안이 기능보다 후순위로 밀려났음을 보여주며, 실질적인 조치 없이 운영되는 버그 바운티 프로그램은 단순한 홍보용 쇼에 불과하다는 비판을 피할 수 없다. 더불어 과거의 취약점이 현재의 뛰어난 AI 자동화 능력과 결합할 경우 공격 준비 시간을 극단적으로 단축시켜 얼마나 재앙적인 결과를 낳을 수 있는지 명확히 보여준다. 따라서 기업은 플랫폼 제공자의 패치만 기다릴 것이 아니라 즉시 공개된 노션 페이지의 권한을 회수해야 하며, 보안 요건이 엄격한 조직이라면 데이터가 외부에 보관되는 노션 대신 종단간 암호화나 자체 서버 구축, 로컬 암호화가 가능한 대안 플랫폼의 도입을 적극적으로 검토해야 한다.

 

 

- UUID 확인하는 법 <공개노션 페이지일 경우에만 가능>

1) F12(개발자 도구) - Network 탭 - 상단에 Fetch / XHR 클릭 - 페이지 새로고침 (F5)

2) loadCachedPageChunkV2 들어가기

3) 필드 의미 : created_by_id(이 블록 만든 사람), last_edited_by_id(마지막 수정한 사람)

 

 

 

기사 출처 : https://byteiota.com/notion-email-leak-4-year-bug-exposes-all-editors/?utm_source=chatgpt.com

 

API (Application Programming Interface)
1) 서로 다른 소프트웨어 시스템이 통신하고 기능이나 데이터를 주고받기 위해 정의된 규칙과 인터페이스
2) 클라이언트는 API를 통해 서버에 요청을 보내고, 서버는 그 요청을 처리한 뒤 결과를 응답으로 반환

GET 요청과 POST 요청
1) GET 요청 : 서버로부터 데이터를 조회(읽기)하기 위해 사용하는 HTTP 메서드 -> 요청 데이터는 주로 URL의 쿼리 문자열(Query String)에 포함
2) POST 요청 : 서버에 데이터를 전달하여 생성 또는 처리 작업을 수행하기 위해 사용하는 HTTP 메서드요청 데이터는 HTTP 메시지의 Body에 포함

자격 증명 (Credentials) 
1) 사용자의 신원을 확인하기 위해 사용하는 정보
2) ID, Password 등

토큰 (Token)
1) 인증이 완료된 사용자에게 발급되는 접근 권한 증표
2) 사용자는 이후 요청에서 자격 증명을 다시 보내는 대신 토큰을 사용해 인증 상태를 유지
3) HTTP 헤더에 포함되어 서버로 전달되며, 일정 시간 후 만료

쿠키 (Cookie)
1) 클라이언트(브라우저)에 저장되는 작은 데이터 조각으로, 서버와의 상태 정보를 유지하기 위해 사용
2) 로그인 상태, 세션 ID 등의 정보가 저장될 수 있으며, 브라우저는 요청 시 자동으로 쿠키를 서버에 함께 전송

OWASP
1) 웹 애플리케이션 보안을 위한 국제 비영리 단체
2) 보안 취약점과 대응 방법에 대한 표준과 가이드라인을 제공

버그 바운티 프로그램(BBP) : 기업이 보안 취약점을 발견한 사람에게 보상을 지급하는 제도

AI 기반 스피어 피싱
1) 인공지능을 활용해 특정 개인이나 조직을 정밀하게 타겟팅하여 수행하는 피싱 공격
2) 공개된 정보나 이전 대화를 분석해 실제와 유사한 메시지를 생성하여 신뢰도를 높이는 것

덤프 (Dump) : 시스템이나 데이터베이스에 저장된 데이터를 그대로 추출한 데이터 집합

종단 간 암호화 (End-to-End Encryption, E2EE) 
1) 데이터를 송신자와 수신자만 복호화할 수 있도록 암호화하는 방식
2) 중간 서버나 제3자는 내용을 확인할 수 없음

개인 식별 정보 (PII, Personally Identifiable Information)
1) 개인을 식별할 수 있는 모든 정보를 의미
2) 이름, 이메일, 전화번호, 주민등록번호 등

CRUD 기능
1) Create: 새로운 데이터를 생성(추가)
2) Read: 데이터를 조회(읽기)
3) Update: 기존 데이터를 수정
4) Delete: 데이터를 삭제