가짜 영국 비자 사이트, 10만 명의 여권 사진 방치하고 취재 기자에게 법적 위협

TechCrunch는 유출된 데이터 속에서 실제 개인 정보를 확인한 후 해당 피해자들에게 연락을 취해 진위를 검증함으로써 사고의 실체를 확인했습니다 . 이 사건의 규모는 10만 건 이상의 민감 문서가 위험에 처했을 정도로 심각했습니다 .

UK Visa Portal, 누가 운영했나?

문제의 사이트는 영국 내무부(Home Office)나 공식 정부 포털 GOV.UK와는 전혀 무관한, 완전히 독립된 상업 서비스였습니다 . 해당 사이트는 아랍에미리트(UAE)에 등록된 ‘Active Leadgen LLC’라는 회사가 운영한 것으로 알려졌습니다 . 이들은 영국 전자여행허가(ETA) 신청이나 기타 이민 관련 진행을 ‘도와주는’ 명목으로 수수료를 청구했지만, 실제로 이용자들은 공식 GOV.UK에서 무료 또는 훨씬 저렴한 비용으로 동일한 신청을 직접 완료할 수 있었습니다 .

무엇보다 심각한 문제는 이처럼 민감한 정보를 다루는 플랫폼에 필수적인 보안 문제 신고 연락처나 버그 신고 체계가 전혀 마련되어 있지 않았다는 점입니다 . 이 취약점 때문에 연구원이나 이용자들이 문제를 알릴 방법이 없어, 데이터가 더 오랜 기간 동안 위험에 노출되었을 가능성이 큽니다.

“해결 대신 변호사”… 업체의 기막힌 대응

이번 사건의 가장 논란이 되는 부분은 문제가 드러난 후 업체가 보인 태도입니다. TechCrunch가 해당 사실을 업체에 알리고 기사를 준비했을 당시, UK Visa Portal은 보안 결함을 전혀 수정하지 않은 상태였습니다 .

Active Leadgen LLC는 유출된 서버를 즉시 보호하거나 공식적으로 피해 사실을 공지하는 대신, 전혀 다른 행동을 취했습니다. 이들은 TechCrunch의 보도를 막기 위해 법무법인을 동원해 사실상 법적 위협을 가한 것으로 확인되었습니다 . 해당 아마존 S3 버킷이 뒤늦게 보호 조치된 것은 TechCrunch 기사가 게재된 지 몇 시간이 지난 이후였습니다. 즉, 책임 있는 공개 요청에는 무대응으로 일관하며 시간을 끌었던 셈입니다 .

피해자들에게 남겨진 위험, 그리고 교훈

이번에 유출된 데이터는 신원 도용과 금융 사기에 악용될 위험이 매우 높습니다. 고해상도 여권 스캔 이미지에 인증 셀피, 그리고 GPS 정보 같은 메타데이터까지 결합되면, 악의적인 공격자들은 피해자 몰래 금융 사기를 저지르거나 계정을 개설하는 등 심각한 사회 공학적 공격을 수행할 수 있습니다 . 많은 피해자들은 자신이 사용한 사이트가 정부 기관이 아니라고 의심할 이유조차 없었기에, 이번 노출 사고는 더 큰 충격으로 다가왔습니다.

영국 비자 신청을 위한 공식 창구는 언제나 GOV.UK 입니다. 이번 사건은 고액의 수수료를 요구하며 민감한 신원 정보를 요구하는 제3자 서비스를 이용할 때에는 반드시 해당 사이트가 공식 채널이 맞는지, 그리고 개인정보 보호 수준은 충분한지 냉철하게 따져봐야 한다는 중요한 경고를 남겼습니다.