호텔 체크인 시스템, 100만 개 여권/면허증 데이터 공개 유출 사고

호텔에 체크인할 때 신분증 제출은 당연한 절차다. 그런데 그 신분증 정보가 비밀번호도 없이 인터넷에 굴러다니고 있었다면? 상상만 해도 아찔한데, 실제로 이런 일이 벌어졌다.

한 보안 연구원이 익명의 호텔 체크인 시스템에서 100만 개가 넘는 여권과 운전면허증 스캔 파일이 인터넷에 그대로 노출되어 있는 것을 발견했다고 TechCrunch가 보도했다. 문제는 이 시스템을 운영하는 기술 회사가 클라우드 스토리지 설정을 ‘공개’로 해둬서, 누구나 아무런 인증 없이 이 민감한 정보에 접근할 수 있었다는 점이다.

100만 건 넘는 신분증 정보가 공짜 노출

유출된 데이터는 여권과 운전면허증 스캔 이미지뿐 아니라, 이름, 생년월일, 국적, 발행일, 만료일 등 신분증에 담긴 모든 정보다. 심지어 호텔 예약 정보까지 포함되어 있었다고 하니, 개인을 특정하는 데 필요한 거의 모든 정보가 털린 셈이다. 이 데이터는 최소 3년 이상 공개 상태로 방치되어 있었던 것으로 추정된다고 한다. 그 기간 동안 얼마나 많은 사람이 이 정보를 보거나 다운로드했을지는 아무도 모른다. 보안 연구원이 제보하기 전까지는 누구도 문제를 인지하지 못했다는 게 더 섬뜩하다.

이런 사고가 발생하는 핵심 원인은 역시나 ‘설정 오류’다. 클라우드 스토리지는 편리하지만, 제대로 설정하지 않으면 독이 될 수 있다는 걸 여실히 보여주는 사례다. 특히 민감한 개인 정보를 다룰 때는 이중, 삼중의 보안 점검이 필수적이다. 그냥 ‘public’으로 두는 건 거의 ‘여기에 고객 정보 있습니다! 가져가세요!’ 하고 소리치는 것과 다름없지 않나 싶다.

클라우드 보안, 기본이 가장 중요하다

이번 사건은 클라우드 환경에서 보안의 ‘기본’이 얼마나 중요한지 다시 한번 일깨워준다. 아무리 최첨단 보안 솔루션을 도입해도, 가장 기본적인 스토리지 접근 권한 설정 하나 잘못하면 모든 게 무용지물이 된다. 클라우드 서비스를 쓰는 기업들은 주기적으로 접근 권한을 감사하고, 민감 정보에 대한 최소 권한 원칙(least privilege)을 철저히 지켜야 한다.

개인 입장에서는 이런 소식을 접할 때마다 ‘내 정보는 안전할까?’ 하는 불안감이 커질 수밖에 없다. 호텔이나 기타 서비스에 신분증 정보를 제공할 때는 해당 기업이 어떤 보안 정책을 가지고 있는지 알기 어렵다는 게 문제다. 결국 기업들이 스스로 경각심을 가지고 보안에 투자하는 수밖에 없지 않을까. 비밀번호가 없는 데이터 유출이라니, 꽤나 고전적인 실수인데도 여전히 반복된다는 게 씁쓸한 현실이다.