스페인 대마초 클럽을 이용한 약 100만 명의 고객 신분증과 민감한 개인 정보가 인터넷에 무방비로 노출되는 심각한 데이터 유출 사고가 발생했습니다. 보안 연구원 새미 아즈두팔(Sammy Azdoufal)은 클로드 코드(Claude Code)를 활용해 이 취약점을 발견했으며, 여권, 운전면허증 등 신분증 이미지와 함께 전화번호, 주소, 대마초 선호도 같은 개인 정보가 비밀번호나 접근 제어 없이 공개 URL에 저장되어 있었다고 밝혔습니다.
이번 유출은 아일랜드 기업 캐너비스 클럽 시스템즈(Cannabis Club Systems, CCS, 공식 명칭 Nefos Solutions)가 개발한 소프트웨어의 보안 허점 때문입니다. 이 소프트웨어는 클럽의 판매, 회계, 입장 관리 및 신분증 확인 시스템을 제공하며, 접수원이 고객 신분증과 셀카를 네포스(Nefos) 클라우드에 업로드하는 방식입니다. 아즈두팔은 클럽 이용자들이 사용하는 앱인 퍼프팔(PuffPal)을 역컴파일(decompiled)하는 과정에서 네포스의 시스템에 심각한 보안 취약점이 있음을 발견했습니다. 앱 내에 스트라이프(Stripe) 결제 플랫폼의 비밀 키가 평문으로 노출되어 있었고, 사용자 ID 번호만 변경하면 다른 회원의 프로필에 접근할 수 있었습니다. 특히, 신분증 이미지는 ‘https://ccsnubev2.com/v8/images/_{club}/ID/{user_id}-front.jpg’와 같은 간단한 공개 URL에 저장되어 매일 약 5,000개의 새로운 신분증이 이처럼 안전하지 않은 방식으로 업로드되고 있었습니다.
네포스는 더 버지(The Verge)의 취재와 아즈두팔의 경고에도 불구하고 초기에는 위협을 심각하게 받아들이지 않았습니다. 심지어 한때 잠금 조치를 취했던 신분증 이미지를 클럽들의 불만 때문에 다시 잠금 해제하는 등 고객 편의를 보안보다 우선시하는 모습을 보였습니다. 결국 네포스는 퍼프팔 시스템과 취약한 API를 전면 중단하고 수정 작업을 진행 중이며, 아일랜드 데이터 보호 당국(DPC)에 데이터 유출 사실을 알리고 책임을 지겠다고 밝혔습니다. 이번 사건은 기업들이 고객 데이터를 다룰 때 기본적인 보안 원칙을 얼마나 소홀히 할 수 있는지, 그리고 잠재적인 위협에 대한 신속하고 책임감 있는 대응이 얼마나 중요한지를 극명하게 보여주는 사례입니다.