AI 요약
보안 연구원 새미 아즈두팔(Sammy Azdoufal)이 스페인 대마초 클럽용 소프트웨어 개발사인 아일랜드 기업 '네포스 솔루션즈(Nefos Solutions, 구 Cannabis Club Systems)'의 보안 부실로 인해 98만 5,000개 이상의 여권 및 신분증 사진이 인터넷에 아무런 보호 장치 없이 노출된 사실을 발견했습니다. 해당 업체가 제공하는 회원 가입 및 출입 통제용 시스템과 전용 앱 '퍼프팔(PuffPal)'은 클럽 리셉션에서 회원 확인을 위해 수집한 신분증 이미지와 셀카 사진을 클라우드에 저장하는 과정에서 패스워드 등 기본적인 접근 제어를 설정하지 않았습니다. 이로 인해 인터넷 주소(URL)만 입력하면 독일, 스페인 등 전 세계 방문객의 민감한 신분증 사진을 누구나 볼 수 있는 상태였습니다. 유출된 데이터베이스에는 개인 신원 정보뿐만 아니라 사용자의 전화번호, 주소, 선호하는 대마초 종류 및 월별 소비량까지 포함되어 있었으며, 여기에는 미국인 약 30,000명과 자신의 대마초 흡연 사실을 숨기고자 하는 유명인들도 다수 포함된 것으로 드러나 파장이 예상됩니다.
핵심 인사이트
- 대규모 개인정보 노출: 보안 연구원 새미 아즈두팔에 의해 약 **98만 5,000개 이상의 여권 및 사진 신분증(ID)**이 보안 조치 없이 퍼블릭 인터넷에 노출되었습니다.
- 해외 방문객 및 유명인 피해: 데이터베이스에는 전 세계에서 온 대마초 클럽 방문객 정보가 포함되어 있으며, 이 중 미국인 이용자만 약 30,000명에 달하고 신원 노출을 원치 않는 유명인들도 포함되어 있습니다.
- 유출 책임 기업: 이번 사고는 개별 클럽이 아닌, 클럽들의 영업·회계·출입 관리를 담당하는 아일랜드 기반 소프트웨어 기업 **'네포스 솔루션즈(Nefos Solutions, 구 CCS)'**의 시스템 보안 부실이 원인입니다.
주요 디테일
- 인증 우회 및 노출: 신분증 이미지 파일들이 패스워드나 권한 검증 절차 없이 공개 URL로 접근이 가능하여 누구나 다른 사람의 여권과 신분증 앞·뒷면을 열람할 수 있었습니다.
- 결제 API 키 평문 노출: 연구원이 전용 입장 앱인 '퍼프팔(PuffPal)'을 리버스 엔지니어링(역컴파일)한 결과, 글로벌 결제 서비스 **스트라이프(Stripe)의 비밀 키(Secret Key)**가 소스코드 내에 평문(Plain Text)으로 버젓이 노출되어 있었습니다.
- IDOR 취약점 존재: 데이터베이스 내 사용자 프로필 조회 시, 단지 숫자를 1씩 변경하는 것만으로 다른 클럽 회원들의 개인 프로필 정보에 제약 없이 접근할 수 있는 심각한 시스템 설계 결함이 발견되었습니다.
- 민감한 소비 정보 기록: 유출된 데이터에는 이름과 주소 외에도 각 사용자의 전화번호, 선호하는 대마초 품종(Strain), 월평균 대마초 소비량 등 고도로 민감한 사생활 정보가 함께 저장되어 있었습니다.
향후 전망
- 2차 범죄 악용 우려: 신분증 사진과 개인 연락처가 다크웹 등으로 유출될 경우 명의 도용, 보이스피싱, 신원 도용 금융 사기 등 2차 범죄에 악용될 가능성이 매우 높습니다.
- 평판 훼손 및 협박 위험: 대마초 흡연 사실이 사회적으로 치명적일 수 있는 공인이나 유명인의 경우, 유출된 소비 정보를 빌미로 한 협박이나 사생활 침해 피해에 직면할 수 있습니다.