AI 요약
일본의 IT 스타트업 Reqrea가 운영하는 호텔 체크인 시스템 'Tabiq'에서 심각한 보안 결함이 발견되어 약 100만 건 이상의 민감 정보가 온라인에 무단 노출되었습니다. 보안 연구원 Anurag Sen은 Reqrea가 아마존 클라우드(AWS)의 스토리지 버킷인 'tabiq'을 비밀번호 없이 누구나 접근 가능한 '공개' 상태로 방치했음을 발견하고 이를 제보했습니다. 해당 버킷에는 전 세계 투숙객들의 여권, 운전면허증 사본과 함께 신원 확인용 셀카 사진 등이 포함되어 있었으며, 2020년 초부터 수집된 데이터가 모두 노출된 것으로 드러났습니다. TechCrunch의 제보를 받은 Reqrea 측은 일본의 사이버 보안 조정 팀(JPCERT)과 협력하여 현재 해당 버킷을 폐쇄 조치했습니다. 이번 사건은 정교한 해킹이 아닌, 기본적인 보안 수칙을 준수하지 않은 설정 오류(Misconfiguration)가 대규모 정보 유출로 이어진 사례로 평가됩니다.
핵심 인사이트
- 유출 규모: 일본 스타트업 Reqrea의 'Tabiq' 시스템을 통해 1,000,000건 이상의 여권, 운전면허증, 셀카 인증 사진이 노출되었습니다.
- 노출 기간: 노출된 데이터는 2020년 초부터 2026년 5월 현재까지 수집된 전 세계 호텔 방문객의 신원 증명 서류입니다.
- 발견 경위: 보안 연구원 Anurag Sen이 해당 취약점을 발견했으며, 버킷 이름인 'tabiq'만 알면 웹 브라우저를 통해 누구나 접근 가능한 상태였습니다.
- 공개 데이터베이스 인덱싱: GrayHatWarfare와 같은 공개 클라우드 스토리지 인덱싱 서비스에 해당 정보가 이미 캡처되어 있었습니다.
주요 디테일
- 기술적 원인: 아마존 AWS S3 버킷은 기본적으로 비공개 설정이지만, 관리자가 다단계 경고를 무시하고 수동으로 설정을 변경하여 발생한 인재(Human Error)입니다.
- 시스템 기능: Tabiq은 일본 내 여러 호텔에서 얼굴 인식 및 문서 스캔을 통해 투숙객의 체크인을 돕는 비대면 시스템입니다.
- 기업 대응: Reqrea의 Masataka Hashimoto 이사는 외부 법률 고문과 함께 노출 범위를 조사 중이며, 로그 기록을 분석하여 제3자의 무단 접근 여부를 확인하고 있습니다.
- 보안 조치: TechCrunch와 JPCERT의 통보 이후 즉시 스토리지를 폐쇄했으며, 조사 완료 후 피해자들에게 통보할 예정입니다.
향후 전망
- 법적 책임 및 배상: 대규모 개인정보 유출에 따라 Reqrea는 피해자 통보 의무와 함께 일본 및 글로벌 개인정보 보호법에 따른 강력한 법적 처벌과 손해 배상 청구에 직면할 가능성이 높습니다.
- 보안 표준 강화: 안면 인식 등 생체 정보와 신분증 데이터를 다루는 비대면 서비스 업체들에 대한 클라우드 설정 보안 감사 및 규제 기준이 더욱 엄격해질 것으로 전망됩니다.