여권 98만 건이 그냥 URL로 열렸다: 대마초 클럽 SaaS의 황당한 보안 사고
스페인 대마초 클럽들이 쓰는 소프트웨어에서 여권과 신분증 이미지 약 98만5천 건이 인증 없이 공개 URL로 노출됐어. 보안 연구자는 PuffPal 앱을 분석하다가 평문 Stripe 키, 번호만 바꾸면 열리는 사용자 프로필, 공개 이미지 경로까지 발견했어. 업체는 뒤늦게 취약 API와 PuffPal 시스템을 중단했지만, EU의 72시간 침해 통지 의무도 지키지 못했다고 인정했어.
- 1
약 98만5천 건의 여권·운전면허증·사진 신분증이 인증 없는 공개 URL에 노출됨
- 2
스페인 대마초 클럽 방문자 정보가 포함됐고 미국 방문자만 약 3만 명으로 언급됨
- 3
PuffPal 앱에는 Stripe 비밀 키가 평문으로 들어 있었고, 사용자 번호 변경만으로 다른 회원 프로필 접근이 가능했음
- 4
하루 약 5천 건의 새 신분증 이미지가 취약한 URL 구조로 업로드되고 있었음
- 5
Nefos는 PuffPal과 취약 API를 중단했고 아일랜드 데이터보호위원회와 연락 중이라고 밝힘
이 사고는 ‘클라우드에 올렸으니 안전하겠지’가 얼마나 위험한 착각인지 보여줘. 신분증 이미지, 취향 정보, 주소, 연락처 같은 민감정보를 다루면서 객체 접근 제어와 API 인증이 무너져 있으면, 그건 해킹이라기보다 인터넷에 개인정보를 전시한 것에 가까워.
관련 기사
안랩클라우드메이트 ‘시큐어브리지’, 정부 우수 정보보호기술 지정
안랩클라우드메이트의 인공지능 보안 솔루션 ‘시큐어브리지’가 2026년 우수 정보보호기술로 지정됐다. 생성형 인공지능 활용이 늘면서 데이터 유출과 개인정보 노출 위험이 커지는 상황에서, 단순 키워드 탐지가 아니라 문맥과 위험도를 함께 보는 방식이 평가를 받았다.
임팩시스 공공시설 예약 SaaS, 클라우드 보안인증 받았다
공공부문 IT 기업 임팩시스의 공공시설 예약 플랫폼 ‘임팩사스’가 한국인터넷진흥원 클라우드 보안인증(CSAP)을 획득했다. 네이버클라우드 공공기관용 인프라를 기반으로 공연장, 체육시설, 도서관, 박물관 같은 공공시설 예약·대관·발권·정산 업무를 하나로 묶는 서비스다.
AI스페라, 크리미널 IP를 오픈CTI와 공식 연동
AI스페라가 위협 인텔리전스 솔루션 크리미널 IP를 오픈소스 CTI 플랫폼 오픈CTI와 연동했다. 보안 담당자는 IP, 도메인, URL 같은 위협 지표를 따로 여러 서비스에서 조회하지 않고, 오픈CTI 안에서 평판·취약점·피싱·인프라 정보를 자동으로 보강해 볼 수 있다.
동신대 AI보안학과, 생성형 AI 보안 연구로 학술대회 수상
동신대 AI보안학과 재학생들이 한국융합보안학회 하계학술대회에서 한전KDN 사장상 1편과 우수논문상 2편을 받았다. 주제는 상용 LLM API 보안 탐지의 가드레일 간섭, 프롬프트 인젝션 방어, 오픈소스 소프트웨어 공급망 위험 평가로 요즘 보안팀이 실제로 고민하는 영역에 맞닿아 있다.
AI스페라 크리미널 IP, 오픈CTI와 공식 연동…위협 지표 분석 자동화
AI스페라의 사이버 위협 인텔리전스 솔루션 크리미널 IP가 오픈소스 CTI 플랫폼 오픈CTI와 공식 연동됐다. 보안팀은 오픈CTI 안에서 IP, 도메인, URL의 평판, 취약점, 피싱, 익명화 기술 사용 여부를 자동으로 보강해 분석할 수 있다.
댓글
댓글
댓글을 불러오는 중...