페덱스, 고객 사진 붙은 신분증 사본 유출

이름·주소·신용카드 등 아마존 서버에 공개 보관

인터넷입력 :2018/02/17 08:54    수정: 2018/02/17 11:00

국제 항송 특송 회사 페덱스에 2014년 인수된 ‘봉고 인터내셔널’(Bongo International)이라는 운송 대행 서비스가 고객의 개인 정보를 온라인상에서 누구나 접근할 수 있는 상태로 보관했던 것으로 드러났다.

16일(현지시간) 미국 IT전문 매체인 지디넷과 아스테크니카 등에 따르면 보안 조사를 실시한 크롬테크 시큐리티 센터(Kromtech Security Center) 연구진은 페덱스 고객 서류의 스캔 데이터가 아마존 S3(Amazon Simple Storage Service, 인터넷용 스토리지 서비스) 버킷에 누구나 접근할 수 있는 상태로 보관돼 있는 것을 발견했다.

이렇게 누구나 접근 가능하도록 돼 있는 데이터에는 11만9천인분의 사용자 이름, 자택주소, 전화번호가 적혀 있었다. 또 사진이 부착된 신분증 사본도 첨부돼 있었다. 신분증 사본은 멕시코, 캐나다, 유렵연합, 사우디아라비아, 쿠웨이트, 일본, 말레이시아, 중국, 호주 등 다양한 국가의 사용자 것이었다. 자신의 ID를 증명하는 데 사용한 신용카드 정보도 포함돼 있었다.

이런 데이터는 당초 미국에만 발송에 행해지는 상품을 다른 나라에 배송해주는 봉고 인터내셔널에 의해 수집되고 있었다. 2014년 봉고 인터내셔널은 페텍스에 인수된 뒤 사명을 ‘페덱스 크로스 보더 인터내셔널’로 바꿨다. 그 후 2016년 봄에 페덱스는 이 서비스를 종료했다.

여권 등 사진이 부착 된 신분증 사본도 첨부돼 있었다.(사진=mackeepersecurity.com)

이번에 발견된 내용에 대해 외신은 사용자 데이터가 처음부터 제대로 관리되지 않고, 또 페덱스가 서비스 종료 시 데이터 삭제에 실패했다는 것을 보여주는 사례라는 지적이다. 크롬테크 연구자들은 이런 데이터가 2009년부터 공개 상태에 있었던 것으로 보고 있다.

서버 문서는 2008년부터 2015년 9월까지의 것이지만, 외신은 ID 카드의 대부분이 이미 만료됐지만, 비교적 최근에 업로드된 문서는 현재도 유효해 ID 도용의 피해가 당할 위험이 있다고 지적했다.

관련기사

이달 13일 연구진은 페덱스 크로스보더 머천트 고객 지원을 통해 페덱스와 연락을 취하려 했지만 연락이 닿지 않았다. 그 후 지디넷 기자가 연락을 취하자 페덱스는 비밀번호를 설정한 것으로 전해졌다.

페덱스(사진=보잉사홈페이지)

페덱스 측은 “예비 조사 결과 우리는 봉고 인터내셔널의 과거 계정 정보가 타사 서버에 있는 것을 확인했다”며 “이 정보가 잘못 사용된 징후는 없지만 우리는 계속 조사를 실시할 예정”이라고 밝혔다.