호텔 체크인 시스템 타빅, 개인정보 100만 건 유출

팩트일본 기술 스타트업 레크레아가 운영하는 호텔 체크인 시스템 타빅에서 100만 건 이상의 개인정보가 노출되었습니다. 유출된 정보에는 여권과 운전면허증, 얼굴 인식 사진이 포함됩니다.

팩트해당 데이터는 아마존 클라우드 저장소 버킷이 공개 상태로 설정되어 발생했습니다. 이로 인해 비밀번호 없이 누구나 웹 브라우저를 통해 데이터에 접근할 수 있었습니다.

팩트독립 보안 연구원 아누라그 센이 이 문제를 발견하여 테크크런치에 제보했습니다. 이후 테크크런치가 레크레아와 일본 사이버보안 조정팀 제이피서트에 연락한 뒤에야 저장소는 비공개로 전환되었습니다.

팩트노출된 데이터는 2020년 초부터 2026년 5월까지의 기록을 포함합니다. 이 정보들은 공개된 클라우드 저장소를 색인하는 데이터베이스인 그레이햇워페어에도 포착되었습니다.

팩트레크레아의 마사타카 하시모토 이사는 조사가 완료되는 대로 피해자들에게 통지할 계획입니다. 회사는 외부 전문가와 함께 전체 노출 범위를 파악하고 있습니다.

교차검증레크레아 측은 저장소가 공개 상태로 설정된 정확한 원인을 파악하지 못하고 있습니다. 아마존은 기본적으로 저장소를 비공개로 설정하며 공개 전환 시 여러 경고를 제공하므로, 이번 사고는 관리 부실일 가능성이 큽니다.

교차검증현재까지 제보자 외에 다른 제삼자가 데이터에 접근했는지 여부는 확인되지 않았습니다. 레크레아는 외부 법률 자문과 함께 로그를 분석하여 무단 접근 여부를 조사하고 있습니다.

교차검증최근 듀크 앱이나 허츠 렌터카 등에서도 유사한 신분증 정보 유출 사고가 잇따라 발생했습니다. 이는 기업들이 고객의 개인정보를 수집하는 과정에서 보안 책임 인식이 부족하다는 점을 시사합니다.

주장이번 사건은 정교한 해킹 기술보다 기본적인 보안 수칙을 지키지 않은 인적 오류가 더 큰 위험 요소임을 보여줍니다. 기업들이 고객의 민감한 신분증 정보를 수집하면서도 기초적인 클라우드 보안 설정을 소홀히 하고 있습니다.

주장정부와 기업이 신원 확인을 위해 민감한 신분증 업로드를 강제하는 추세가 확산되고 있습니다. 그러나 이러한 데이터를 제삼자 기업에 맡기는 방식은 데이터 유출 시 개인의 신원 도용이나 사칭 범죄로 이어질 위험이 큽니다.

출처테크크런치의 보도 내용을 교차 검증했습니다. (https://techcrunch.com/2026/05/15/a-hotel-check-in-system-left-a-million-passports-and-drivers-licenses-open-for-anyone-to-see/)