교도소 전화서비스 Pay Tel, 30만건 이상 운전면허증 노출
원제: A security lapse at prison payphone service Pay Tel publicly exposed over 300K callers’ driver’s licenses
왜 중요한가
교도소 통신서비스의 대량 개인정보 노출로 취약계층 데이터 보안의 중요성 부각
미국 교도소 통신서비스 업체 Pay Tel이 보안 취약점으로 30만건 이상의 운전면허증과 신분증 스캔본을 인터넷에 공개 노출했다고 보안업체 UpGuard가 5월 28일 발표했다. 비밀번호 없이 접근 가능한 Microsoft Azure 서버에 고객 개인정보가 저장되어 있었다.
보안업체 UpGuard는 교도소 통신서비스 Pay Tel이 운영하는 Microsoft Azure 서버에서 최소 30만건의 운전면허증 스캔본과 기타 정부 발급 신분증이 비밀번호 보호 없이 웹상에 노출된 것을 발견했다고 발표했다. Pay Tel은 미국 전역 교도소에 태블릿과 통신기기를 제공하여 수감자들이 통화를 받을 수 있는 서비스를 운영한다. 고객은 서비스 이용 전 신분증 사본과 프로필 사진을 제출해야 하는데, 이러한 정보들이 모두 노출되었다. 노출된 데이터에는 수감자 커뮤니케이션 내용인 문자메시지, 손글씨 메모, 재정 기록도 포함되었다. UpGuard는 5월 7일 Pay Tel에 보안 취약점을 신고했고, 며칠 후 추가 연락을 취한 뒤 서버가 보호되었다. 노출된 사용자 업로드 사진 중 다수는 촬영 위치의 정확한 GPS 좌표를 포함하고 있어 일부 경우 개인의 집 주소까지 식별 가능했다. Pay Tel은 2025년 6월 랜섬웨어 공격에 이어 2년 연속 보안 사고를 겪었다. 빈센트 타운센드 Pay Tel 사장은 TechCrunch의 질의에 응답하지 않았다.