호텔 체크인 시스템, 100만 건 여권·운전면허 노출
원제: A hotel check-in system left a million passports and driver’s licenses open for anyone to see
왜 중요한가
기본적 사이버보안 관리 미흡으로 대규모 개인정보 유출이 반복되는 심각성을 보여준다.
일본 스타트업 Reqrea가 운영하는 호텔 체크인 시스템 Tabiq에서 전 세계 투숙객 100만 명 이상의 여권, 운전면허증, 셀카 인증 사진이 웹에 공개 노출됐다. 보안 연구자가 발견해 TechCrunch가 알린 후 차단됐다.
일본 테크 스타트업 Reqrea가 운영하는 호텔 체크인 시스템 Tabiq에서 대규모 개인정보 유출 사고가 발생했다. 독립 보안 연구자 Anurag Sen이 이번 주 초 해당 시스템이 전 세계 호텔 투숙객들의 민감한 문서를 유출하고 있다는 사실을 발견했다고 밝혔다. Tabiq는 일본 내 여러 호텔에서 사용되며 얼굴 인식과 문서 스캔 기술을 통해 투숙객 체크인을 처리하는 시스템이다. 문제의 원인은 스타트업이 고객 데이터를 저장하는 아마존 클라우드 스토리지 버킷을 공개 접근 가능하게 설정한 것이었다. 누구나 웹브라우저로 'tabiq'라는 버킷명만 알면 비밀번호 없이 내부 데이터를 볼 수 있는 상태였다. TechCrunch가 회사 측과 일본 사이버보안 조정팀 JPCERT에 연락한 후 스토리지 버킷이 차단됐다. Reqrea의 하시모토 마사타카 이사는 '외부 법률 고문 및 기타 자문위원들의 지원을 받아 노출 범위를 파악하기 위한 철저한 검토를 실시하고 있다'고 밝혔다. 회사 측은 스토리지 버킷이 어떻게 공개됐는지 알지 못한다고 했으며, 조사 완료 후 영향받은 개인들에게 통보할 계획이라고 밝혔다.