Vroom by YouX, AWS S3 설정 오류로 2.7만 건 개인정보 유출

Aussie Fintech Vroom Exposes PII Records After AWS Misconfiguration

Aussie Fintech Vroom Exposes PII Records After AWS Misconfiguration

 

• 사고 개요
  • 호주 핀테크 기업 Vroom(구 Drive IQ)가 운영하는 AWS S3 버킷에서 27,000건의 민감한 고객 데이터가 무방비 상태로 공개됨
  • 드라이버 라이선스, 의료기록, 은행 명세서, 고용 정보, 부분 신용카드 번호 등이 포함되어 있었으며, 암호화 또는 접근제어 없이 누구나 열람 가능했던 상태
• 추가 위험 요인
  • 노출된 내부 스크린샷을 통해 MongoDB 기반 저장소의 존재 확인, 최대 320만 건의 추가 문서 존재 가능성 제기
  • 내부 저장소 경로 노출은 사이버 공격자에게 심층 침투용 백도어 또는 새로운 공격 벡터 제공 가능
• 사고 대응
  • 보안 연구원 Jeremiah Fowler가 Website Planet에 제보한 직후 Vroom 측에서 신속하게 외부 접근 차단
  • 회사는 즉각적인 대응과 더불어 사후 리뷰 계획 수립 및 재발 방지 약속
• 플랫폼 특성 및 유출 정보 영향
  • Vroom은 AI 기반 차량 금융 플랫폼으로, 고객의 개인정보, 금융정보, 차량 정보를 수집하여 사전 승인 금융 조건 제공
  • 유출된 데이터는 2022년부터 2025년까지의 기록이며, 정교한 피싱, 신원 도용, 사기 대출 신청 등에 악용 가능
  • 부분 신용카드 정보도 타 정보와 조합하여 도용 가능성 존재
• 보안 권고
  • 금융기업을 위한 보안 조치
    • 종단 간 암호화, 역할 기반 접근제어(RBAC), 다중인증(MFA) 필수 적용
    • 정기적 보안감사 및 구성 자동 점검 도구 활용(AWS Config, Azure Security Center 등)
    • 저장 및 전송 데이터 모두 암호화
    • CloudTrail, Azure Monitor 등의 활동 모니터링 및 로그 분석 도입
    • 불필요한 데이터는 최소화하고, 주기적으로 파기(data minimization)
  • 개인 사용자 대상 주의 사항
    • 자신의 금융 계좌 및 신용카드 사용 내역 정기 모니터링
    • 수상한 요청이나 이메일, 링크에 주의하며, 출처를 검증하지 않은 경우 입력 금지
    • 피해 시 금융기관 및 사법기관에 즉시 신고 권장
• 결론
  • 이번 사고는 AWS S3 기본설정 미흡만으로도 대규모 데이터 유출이 발생할 수 있음을 재차 상기시킴
  • 특히 신생 핀테크 기업은 빠른 서비스 확장 과정에서 보안이 미흡해지는 경우가 많으므로, 초기 설계부터 보안 내재화(Secure-by-Design) 필요
  • 사이버공격자들이 클라우드 저장소의 설정 오류를 적극 악용하고 있는 만큼, 구성 점검 자동화와 외부 감사를 병행한 통합 보안 전략 수립 필수