Nefos PuffPal 데이터 노출: 보호되지 않은 URL을 통해 100만 개의 여권 유출

여러 유럽 국가의 거의 100만 개의 여권 및 사진 신분증이 공개 인터넷에 노출되어 직접 URL만 알면 누구나 접근할 수 있었습니다. 이번 유출은 대마초 소매점 및 클럽을 위한 회원 및 연령 인증 플랫폼인 PuffPal을 운영하는 Nefos가 인증, 암호화 또는 접근 제어 없이 민감한 신원 문서를 공개 웹 서버에 저장했기 때문에 발생했습니다.

데이터 저장의 중대한 보안 실패

이번 노출은 정교한 사이버 공격이나 해킹 시도 결과가 아니라 기본적인 데이터 보안 관행의 근본적인 실패였습니다. 문서는 몇 달 동안 검색 가능 상태였으며, 이후에야 차단되었습니다.

보안 연구원들은 Nefos가 사용한 인프라에서 네 가지 주요 실패를 확인했습니다:

• 인증 없음: 문서 저장 시스템에 비밀번호 보호가 전혀 없었습니다.
• 암호화 없음: 민감한 신원 확인 데이터가 원시, 비암호화 형식으로 저장되었습니다.
• 접근 제어 없음: 문서는 인증 요구 없이 공개 URL을 통해 접근할 수 있었습니다.
• 모니터링 부재: 무단 접근을 감지할 수 있는 접근 로그나 모니터링 시스템이 없었습니다.

신원 문서 노출의 장기적 위험

비밀번호나 신용카드 번호와 달리, 정부 발행 신원 문서는 즉시 재설정하거나 폐기할 수 없습니다. 이는 해당 문서가 만료되거나 긴 관료 절차를 거쳐 수동으로 재발급될 때까지 영향을 받는 개인에게 영구적인 취약점을 남깁니다.

도난당한 여권 및 운전면허 스캔은 범죄자에게 높은 가치의 자산이며, 다음과 같은 악용을 촉진합니다:

• 신원 도용: 스캔을 이용해 사기 계정을 개설하거나 신용을 신청합니다.
• 문서 위조: 합법적인 데이터를 기반으로 위조 문서를 제작합니다.
• 계정 탈취: 다른 플랫폼에서 신원 확인 절차를 우회하기 위해 ID를 사용합니다.

데이터 관리 및 규정 준수 분석

이번 사건은 부수적인 서비스에 대한 민감한 데이터를 처리하는 기업들의 체계적인 실패를 강조합니다. 이 경우, 고가치 자격증명(여권)이 저가치 인증 목적(대마초 클럽 연령 확인)으로 사용되었으며, 인증 절차가 끝난 후에도 데이터가 오래 보관되었습니다.

GDPR 및 저장 제한

일반 데이터 보호 규정(GDPR)에 따라 "저장 제한" 원칙은 개인 데이터가 처리 목적에 필요한 기간을 초과하여 보관되지 않아야 함을 규정합니다. 커뮤니티 논의에서는 사용자의 연령이 확인된 후에는 여권 전체 스캔을 보관할 정당한 이유가 없다고 강조합니다.

"문서가 사람의 신원을 확인하고 그 사람이 법적 연령임을 검증하는 데 사용된 후에는 해당 문서 사본을 더 이상 보관할 이유가 없습니다."

결합된 데이터의 위험

문서가 대마초 관련 플랫폼에서 유출되었기 때문에, 공격자는 신원 문서뿐만 아니라 해당 인물이 대마초 클럽 회원이라는 정보를 얻게 됩니다. 이는 도난당한 자격증명에 민감한 개인 정보 층을 추가합니다.

산업적 함의

이번 유출은 신원 문서를 검증 목적으로 수집하는 모든 조직에 대한 경고입니다. "안전한 저장"이라는 주장은 NIST 컴퓨터 보안 사고 대응 가이드에 명시된 기술적 통제 조치가 구현되지 않으면 신뢰할 수 없습니다. Nefos 사례에서 기본 보안 조치가 부재한 것은 보안과 동의가 서비스 기능 요구 사항에 뒤처지는 데이터 관리 전반의 실패를 시사합니다.

요약:

거의 100만 개의 여권 및 사진 신분증이 Nefos가 운영하는 PuffPal 연령 인증 플랫폼의 중대한 잘못된 구성으로 인해 공개 인터넷에 노출되었습니다.

제목:

Nefos PuffPal 데이터 노출: 보호되지 않은 URL을 통해 100만 개의 여권 유출