캐나다 송금 앱 듀크, 개인정보 수십만 건 유출

주장IT 전문 매체 테크크런치에 따르면, 캐나다 핀테크 기업 듀얼스(Duales)의 송금 앱 듀크(Duc)가 보안 관리 소홀로 수십 만 명의 개인정보를 인터넷에 무방비로 노출했습니다. 이는 금융 서비스 기업이 고객의 민감한 신분 정보를 수집하면서도 적절한 보안 조치를 취하지 않았음을 보여주는 사례입니다.

팩트보안 전문가 아누라그 센은 아마존 클라우드 서버에 저장된 36만 개 이상의 파일이 비밀번호 없이 누구나 접근 가능한 상태임을 발견했습니다. 해당 파일에는 운전면허증, 여권, 사용자 셀카 등 신원 확인을 위한 민감한 정부 발행 문서가 포함되어 있었습니다.

팩트유출된 데이터에는 고객의 이름, 집 주소, 거래 날짜 및 시간, 상세 내역이 담긴 스프레드시트도 포함되었습니다. 이 데이터들은 2020년 9월부터 매일 업데이트되어 저장되었으며, 암호화조차 되지 않은 상태였습니다.

교차검증듀얼스의 최고경영자 헨리 마르티네즈 곤잘레스는 해당 서버가 테스트용 스테이징 사이트였다고 해명했습니다. 그러나 고객의 실제 개인정보가 왜 테스트 서버에 포함되어 공개적으로 접근 가능했는지에 대해서는 명확한 설명을 내놓지 않았습니다.

팩트테크크런치가 듀얼스 측에 보안 문제를 알린 후, 해당 서버의 파일들은 접근이 차단되었습니다. 하지만 서버 내 파일 목록은 여전히 외부에서 볼 수 있는 상태로 남아 있어 완전한 보안 조치가 이루어졌는지 의문이 제기됩니다.

교차검증헨리 마르티네즈 곤잘레스는 모든 보호 조치가 마련되어 있다고 주장했습니다. 또한, 유출된 데이터에 누가 접근했는지 확인할 수 있는 로그 등 기술적 수단을 보유하고 있는지에 대해서는 답변을 거부했습니다.

팩트캐나다 개인정보 보호 당국은 이번 사건을 인지하고 듀얼스 측에 추가 정보를 요청했습니다. 당국은 현재 상황을 파악하고 향후 대응 방안을 결정하기 위해 조사를 진행 중입니다.

주장이번 사건은 많은 앱이 사용자 신원 확인을 위해 정부 발행 문서를 요구하면서도, 정작 수집된 데이터를 보호하기 위한 보안 절차는 미흡하다는 업계의 고질적인 문제를 드러냅니다. 기업들이 데이터 수집의 편의성보다 보안의 안전성을 우선시해야 합니다.

팩트최근 유사한 보안 사고가 잇따르고 있습니다. 지난해 티온허 앱이 수천 명의 여권과 운전면허증을 노출했고, 디스코드 역시 연령 확인을 위해 업로드된 약 7만 건의 정부 발행 문서가 유출되는 사고를 겪었습니다.

출처테크크런치의 2026년 4월 2일 자 보도와 관련 실제 공개 정보를 교차 검증했습니다.