AI 요약
글로벌 프리랜서 마켓플레이스 파이버(Fiverr)가 고객과 작업자 간에 주고받은 민감한 서류들을 Cloudinary 서버상에서 공개 상태로 방치한 보안 사고가 발생했습니다. Fiverr는 보안을 위해 서명된(Signed) 또는 만료 시한이 있는 URL을 사용하는 대신 일반 공개 URL을 선택하여, 수백 건의 고객 파일이 Google 검색 결과에 인덱싱되는 결과를 초래했습니다. 제보자는 이 문제를 확인하고 40일 전 Fiverr 보안팀(security@fiverr.com)에 통보했으나 아무런 답변을 받지 못하자 이를 대중에 공개했습니다. 특히 노출된 파일 중에는 미국 개인 세금 신고서인 'Form 1040' 등 민감한 개인식별정보(PII)가 다수 포함되어 있어 심각한 프라이버시 침해가 우려됩니다. Fiverr는 관련 키워드로 Google 광고를 집행하며 고객을 유인했으나 정작 보안에는 소홀하여 GLBA 및 FTC 보안 규칙 위반 지적을 받고 있습니다.
핵심 인사이트
- 40일간의 무대응: 제보자가 40일 전 공식 보안 이메일로 취약점을 전달했으나 Fiverr 보안팀은 현재까지 어떠한 응답도 하지 않았습니다.
- 검색 노출 실태: Google에서
site:fiverr-res.cloudinary.com form 1040쿼리를 실행하면 수백 개의 개인 세무 관련 파일이 검색 결과에 직접 노출되는 상황입니다. - 규제 위반 가능성: 적절한 보안 조치 없이 민감한 작업물을 방치한 행위는 GLBA(그램-리치-블라일리법) 및 FTC(연방거래위원회) 보안 규칙(Safeguards Rule) 위반에 해당할 수 있습니다.
주요 디테일
- 기술적 결함: Cloudinary를 S3처럼 사용하면서 서명된 URL(Signed URLs) 기능을 활성화하지 않아 누구나 접근 가능한 공개 HTML 링크를 생성한 것이 원인입니다.
- 모순된 마케팅: Fiverr는 'form 1234 filing'과 같은 키워드로 Google 광고를 적극적으로 집행하며 세무 서비스를 홍보했으나, 정작 해당 결과물에 대한 보안은 확보하지 못했습니다.
- 불투명한 보안 프로그램: 공식 페이지에는 Bugcrowd와 협력하여 버그 바운티를 운영한다고 명시했으나, 실제로는 이메일 접수 단계에서 소통이 단절되는 폐쇄적인 구조로 운영되고 있습니다.
- 노출 데이터의 심각성: 노출된 PII(개인식별정보)에는 성명, 주소, 사회보장번호 등이 포함될 수 있는 세무 서류가 포함되어 있어 2차 피해 가능성이 큽니다.
향후 전망
- 규제 당국의 조사: FTC 등 관계 당국이 Fiverr의 개인정보 보호 조치 미흡 및 보안 규칙 위반 여부에 대해 조사를 착수할 가능성이 높습니다.
- 플랫폼 신뢰도 하락: 보안 사고 자체보다 보안팀의 40일간 무응답 등 사후 처리 미흡이 알려지면서 사용자들의 플랫폼 이탈 및 신뢰도 타격이 예상됩니다.
출처:hackernews