교도소 유료전화 서비스 Pay Tel, 보안 결함으로 30만 명 이상 이용자 운전면허증 공개.

개요

교도소 전화 서비스 Pay Tel은 수십만 건의 운전면허증 및 서비스 이용자들의 기타 민감한 정보를 저장하고 있던 공개된 클라우드 서버를 보안 업체가 알려준 뒤 확보했습니다.

노출 상세

• UpGuard의 보안 연구원들은 Microsoft Azure에 호스팅된 저장 서버에서 최소 300,000건의 운전면허증 스캔본과 Pay Tel 이용자들의 기타 정부 발행 신분증을 발견했습니다.
• 해당 서버는 비밀번호나 인증 절차가 전혀 없어 웹에서 직접 접근이 가능했습니다.
• 신분증 외에도 노출된 데이터에는 다음이 포함되었습니다:
  • 고객이 제출한 프로필 사진
  • 수감자와의 통신 내용(문자 메시지, 손글씨 메모 등)
  • 재무 기록
• 업로드된 사진 중 다수는 정확한 지리 위치 메타데이터를 포함하고 있었으며, 경우에 따라 해당 인물의 집 주소까지 파악할 수 있을 정도로 상세했습니다.

기업 대응

• UpGuard는 잘못 구성된 서버를 발견한 5월 7일에 Pay Tel에 통보했으며, 서버가 보안 조치를 받기까지 며칠간 추가 연락을 취했습니다.
• Pay Tel은 아직 공식적으로 사건을 인정하지 않았습니다.
• 회사 대표 Vincent Townsend는 논평 요청에 응답하지 않았습니다.
• Pay Tel이 영향을 받은 개인에게 통보하거나 미국 데이터 유출 통지법에 따라 주 검찰총장에게 알릴지는 아직 불분명합니다.

배경 및 관련 사건

• 이번 노출은 2025년 6월에 발생한 랜섬웨어 공격 이후 일어난 것으로, 해당 공격 역시 Pay Tel의 수감자 통신 플랫폼을 목표로 했습니다. (공격에 대한 보고서는 여기에서 확인할 수 있습니다.)
• 이번 사건은 기술 기업들이 잘못된 설정이나 보안 모범 사례 미준수로 인해 고감도 문서를 공개 웹에 노출시키는 광범위한 추세의 일환입니다. TechCrunch는 이와 유사한 사례들을 반복적으로 보도해 왔습니다.

참고 자료

• 침해 사건을 상세히 다룬 UpGuard 블로그 글: Breaking containment: how a corrections vendor exposed inmate communications
• 원래 랜섬웨어 사건 보도: Leakd article on June 2025 attack