일본 스타트업 Reqrea가 운영하는 호텔 체크인 시스템 'Tabiq'이 고객 100만 명 이상의 여권, 운전면허증, 셀카 인증 사진을 인터넷에 노출시켰다. 보안 연구자 Anurag Sen이 이번 주 초 TechCrunch에 신고해 데이터는 현재 차단되었다.

Tabiq은 일본 내 여러 호텔에서 사용 중인 얼굴 인식·서류 스캔 기반 체크인 시스템이다. 문제는 아마존 웹 서비스(AWS) 클라우드 스토리지 버킷이 공개로 설정되어 있었다는 점이다. 버킷명인 "tabiq"만 알면 비밀번호 없이 누구나 웹 브라우저에서 개인정보에 접근할 수 있었다.

보안 연구자 Sen은 "2020년 초부터 현재까지 전 세계 다양한 국가의 방문객 신원 정보가 저장되어 있었다"고 지적했다. 공개 클라우드 스토리지 인덱싱 데이터베이스인 GrayHatWarfare도 이 버킷 내용을 기록했다.

Reqrea는 TechCrunch와 일본 사이버보안협력팀(JPCERT) 연락 직후 스토리지를 차단했다. Reqrea의 Masataka Hashimoto 이사는 이메일에서 "외부 법률 자문으로 노출 범위를 파악 중이며, 조사 완료 후 피해자에게 통보할 계획"이라고 밝혔다.

AWS 버킷 설정, 예방 가능한 오류

Hashimoto는 "버킷이 어떻게 공개 설정되었는지 알 수 없다"고 했다. AWS는 기본적으로 모든 스토리지 버킷을 비공개로 설정한다. 수년 전 클라우드 버킷 노출 사건 이후 AWS는 데이터를 공개하기 전 경고 메시지를 추가했으므로 우발적 노출 가능성은 낮아졌다.

Sen 외 다른 사람이 노출 기간에 데이터에 접근했는지는 불명확하다. Hashimoto는 "버킷 차단 이전 미인가 접근 여부를 로그로 검토하고 있다"고 설명했다.

신원 정보 수집 증가, 보안 부담 확대

이번 사건은 정교한 공격이 아니라 설정 오류로 인한 대규모 유출이다. 올해 초 송금 서비스 Duc App도 고객의 운전면허증·여권을 노출시켰고, 렌터카 업체 Hertz는 작년 침해로 최소 10만 명의 운전면허증 정보가 유출된 사례가 있다.

민감한 신원 정보 수집 수요는 증가하고 있다. 정부들이 나이 인증 법안을 시행하고 기업들이 'KYC(고객 인증)'를 강화하면서, 민간인들은 제3자 업체에 여권·면허증 같은 정부 발급 신분증을 업로드해야 한다. 사이버보안 전문가들은 이 관행의 위험성을 지적했다.

신원 정보 유출이 누적될수록 신원 사기나 개인 이미지 오용 위험이 높아진다. 나이 인증 제도가 세계적으로 확산되는 상황에서 기업의 보안 기준 강화가 필요하다는 평가다.