한 보안 연구원은 최근 스페인 대마초 클럽에 소프트웨어 서비스를 제공하는 회사가 거의 985,000개의 여권, 운전 면허증, 기타 사진이 부착된 신분증 및 관련 개인 정보를 거의 전혀 보호하지 않고 공용 인터넷에 노출했다는 사실을 발견했습니다. 평균적인 기술력을 갖춘 해커라면 누구나 쉽게 얻을 수 있습니다. 이 데이터 배치에는 약 30,000명의 미국 방문자와 일부 유명인을 포함하여 전 세계의 사용자가 포함됩니다. 스페인 등 대마초 클럽에 등록된 이들의 신원정보, 개인 셀카, 연락처, 소비습관 등 개인정보가 조용히 노출됐을 수도 있다.
이 치명적인 결함은 보안 연구원인 Sammy Azdoufal에 의해 발견되었습니다. 그는 이전에 여러 대의 청소차, 베이비 모니터 및 보안 카메라에서 심각한 보안 결함을 공개한 바 있습니다. 그는 간단한 스크립트 스캔을 통해 인터넷에서 985,000장 이상의 신분증 사진을 발견했으며 그 중 대다수는 스페인의 대마초 클럽 회원 등록 시스템에서 나온 것이라고 말했습니다. 이러한 파일은 비밀번호나 액세스 제어 없이 매우 간단하고 예측 가능한 공개 URL에 저장되므로 링크 형식이 알려진 한 모든 사용자의 ID 이미지를 볼 수 있습니다.
대마초 클럽 자체는 관련 시스템을 직접 운영하지 않고 대신 이전에 Nefos Solutions로 알려진 Cannabis Club Systems(CCS)라는 아일랜드 회사에서 제공하는 소프트웨어 및 클라우드 서비스를 사용합니다. CCS는 클럽을 위한 판매, 재정 및 입장 확인 시스템을 제공합니다. 리셉션 직원은 향후 빠른 신원 확인을 위해 사용자의 여권이나 신분증 사진, 셀카를 Nefos 클라우드에 업로드합니다. 기존 모델에서는 회원이 매장에 들어갈 때마다 실물 ID를 제시해야 했지만, 이 시스템에서는 직원이 클라우드 데이터를 불러와 비교할 수 있다. 일부 클럽은 PuffPal이라는 모바일 앱을 사용하여 QR 코드를 스캔하여 입학 절차를 가속화합니다.
그러나 Azdoufal은 PuffPal 애플리케이션을 디컴파일하고 분석했을 때 Nefos의 전반적인 보안 설계가 거의 쓸모가 없다는 것을 발견했습니다. Stripe 결제 플랫폼의 핵심이 앱 내의 일반 텍스트에 내장되어 있을 뿐만 아니라 사용자 프로필 인터페이스는 전화번호, 집 주소, 여권 정보 및 개인 대마초 소비 선호도와 같은 민감한 데이터가 포함될 수 있는 다양한 회원의 전체 프로필에 액세스하기 위해 단일 번호만 수정하면 됩니다. 더 심각한 것은 시스템이 아무런 토큰이나 권한 확인 없이 "https://ccsnubev2.com/v8/images/{club}/ID/{user_id}-front.jpg"와 같은 공개 주소에 신분증 사진을 저장하고 있으며, 클럽은 여전히 이런 방식으로 매일 약 5,000장의 새로운 신분증 사진을 업로드하고 있다는 점이다.
Azdoufal은 또한 클럽 관련 관리 백엔드도 공용 네트워크에 노출되었으며 클럽 계정에 사용되는 취약한 비밀번호가 최신 GPU에서 무차별 대입을 사용하여 몇 분 안에 해독될 수 있다는 사실을 발견했습니다. PuffPal 앱을 통한 클럽과 회원 간의 비공개 메시지도 잠재적인 유출 위험이 있는 것으로 입증되었습니다. 그의 견해에 따르면 "금고 전체의 열쇠를 거리에 던지는" 행위는 의도적인 공격자가 이러한 매우 민감한 신원 데이터를 일괄적으로 훔치고 재판매할 수 있게 하여 관련 당사자에게 예측할 수 없는 피해를 입힐 수 있다고 생각합니다.
언론의 개입 이후 네포스는 마침내 구체적인 조치를 취하기 시작했습니다. 6월 10일 Azdoufal의 최신 테스트 결과에 따르면, 회사는 PuffPal 시스템 전체와 취약한 API를 일시적으로 종료할 것이라고 발표했습니다. 여권 사진과 개인정보는 현재 강화된 것으로 보이며 더 이상 이전 방식으로는 외부 세계에서 직접 접근할 수 없습니다. 회사는 현지 규제 기관에 상황을 통보했으며 문제를 완전히 해결하고 벌금에 대한 책임을지며 사용자에게 사건에 대해 설명할 것이라고 밝혔습니다.
네포스 공동 창업자인 안드레아스 닐슨(Andreas Nilsen)은 인터뷰에서 회사가 아일랜드 데이터 보호 위원회(DPC)에 데이터 유출에 대해 문의했다고 밝혔으며, 이는 DPC 대변인도 이메일을 통해 확인했습니다. Nilsen은 "잠재적으로 영향을 받을 수 있는 모든 사람에게 통지해야 한다"고 말했으며 DPC가 기업이 이러한 의무를 준수할 수 있는 방법에 대한 지침을 제공할 수 있기를 바랍니다. 그는 또한 현재 Azdoufal 이외의 외부인이 데이터에 접근했다는 증거가 없다고 주장했습니다.
그러나 타임라인으로 볼 때 이러한 심각한 위험에 대한 네포스의 대응은 분명히 지연되었습니다. Azdoufal이 회사에 적극적으로 연락한 후 Nefos는 언론이 해당 문제를 보도할 것이라고 밝힌 지 5일이 될 때까지 실질적인 응답을 하지 않았습니다. 이 기간 동안 회사는 보안 위험이 있는 시스템을 근본적으로 중단하기보다는 비즈니스 운영에 영향을 미치지 않도록 로컬 취약점을 봉쇄하기 위해 더 많은 "패치"를 실시했습니다.
더욱 아이러니한 점은 올해 6월 초 아즈두팔이 기자들에게 여권 사진이 잠겨 있는 것 같다고 알렸을 때, 기자는 뜻밖에 아즈두팔 자신의 여권 이미지가 다시 온라인에 공개된 사실을 발견했다는 점이다. 그 이유는 네포스가 일시적으로 이미지 접근을 제한했지만 클럽의 퍼프팔 앱 사용을 즉각 중단하지는 않았기 때문이다. 후자의 고객들은 "이미지 로딩이 이전만큼 편리하지 않다"고 불평했고, 네포스는 다시 접근 제한을 완화했습니다. Nilsen은 연구원 및 미디어와의 대화 중에 이미지가 "70%" 정도 차단되었다고 주장했지만, 회사가 사용자 개인 정보 보호와 고객 경험 유지 사이에서 분명히 후자를 선호하는 것으로 나타났습니다.
6월 9일, Azdoufal은 Nefos가 여권 이미지와 같은 파일에 대한 액세스 토큰을 추가했지만 사용자 프로필의 다른 데이터가 여전히 "줄무늬"임을 발견했습니다. 해커는 명령줄에 "curl -X POST https://ccsnubev2.com/v8/api/userProfile.php -d 'user_id=[번호]&[클럽 이름]=test&언어=en'"과 같은 요청만 입력하면 여권 번호, 전화번호, 이메일 주소 및 집 주소를 포함한 완전한 개인 정보 세트를 얻을 수 있습니다. 연구원과 언론으로부터 다시 한 번 상기된 후 Nefos는 이 인터페이스를 완전히 차단했습니다.
의혹에 직면한 닐슨은 궁극적인 책임이 회사에 있음을 인정하면서도 책임의 일부를 아웃소싱팀에 전가하기도 했다. 그는 PuffPal 애플리케이션 및 관련 API 개발을 담당하는 9Series라는 아웃소싱 회사를 지명했으며 이러한 인터페이스를 통해 보호되지 않은 대량의 데이터를 Nefos의 사용자 데이터베이스에서 공용 네트워크로 직접 전송할 수 있었습니다. 보도 시간 현재 9시리즈는 아직 응답하지 않았습니다.
이제 PuffPal이 폐쇄됨에 따라 Nefos는 이메일을 통해 대마초 클럽에 회원들이 더 이상 QR 코드를 사용하여 입장할 수 없음을 알립니다. 그러나 클럽은 회원의 RFID 카드를 스캔하거나 전화번호를 입력하여 현장 확인을 위해 Nefos 서버에서 관련 신원 정보를 계속 호출할 수 있습니다. Nilsen은 단지 클럽이 요청했다고 해서 회사가 안전하지 않은 PuffPal을 다시 출시하지는 않을 것이지만 9Series와의 파트너십을 종료한 후 앞으로 몇 달 안에 새로운 앱을 출시할 계획이라고 강조했습니다. 그는 새 시스템이 독립적인 보안 연구원의 감사를 받고 "100% 안전"하다고 확인된 후에만 다시 사용할 것이라고 약속했습니다.
유럽 연합의 일반 데이터 보호 규정(GDPR)에 따라 기업은 데이터 위반이 발생한 후 72시간 이내에 규제 기관에 보고해야 하며 그렇지 않으면 막대한 벌금이 부과될 수 있습니다. Nilsen은 또한 회사가 법적 기한 내에 공개를 완료하지 않았으므로 "확실히 어떤 형태로든 처벌을 받을 것"임을 인정했습니다. 지난달에는 'UK Visa Portal'이라는 웹사이트에서도 최소 10만 장의 여권과 셀카 사진을 추측 가능한 URL에 노출해 세간의 이목을 끌었습니다. 업계 관계자들은 유사한 사고가 누적되면서 매우 민감한 신원 정보를 처리하는 기업의 과실과 근시안이 점점 더 드러나고 데이터 보안에 다시 한 번 경종을 울리는 것을 우려하고 있습니다.