세계 최대 숙박공유 업체 에어비앤비에서 사용자들의 개인정보가 무더기로 노출됐다. 여권은 물론 신분증 사진까지 그대로 구글에서 검색됐다. 그러나 에어비앤비 측은 사용자 과실이라며 책임을 부인하고 있다.
에어비앤비에 본인 인증을 하려면 여권, 주민등록증과 같은 신분증을 제출해야 한다. 출처=에어비앤비 홈페이지
에어비앤비에 본인 인증을 하려면 여권, 주민등록증과 같은 신분증을 제출해야 한다. 출처=에어비앤비 홈페이지
22일 관련 업계에 따르면 에어비앤비 사용자들의 여권사진이 구글 검색에 노출되는 사고가 발생했다. 구글 이미지 검색에서 검색 명령어와 함께 에어비앤비 웹 주소를 입력하면 사용자들의 여권사진과 신분증 등이 검색됐다. 에어비앤비는 이후 구글과 상의해 해당 이미지들이 검색에 노출되지 않도록 조치했다고 밝혔다.

에어비앤비는 노출된 사진들이 사용자들이 실수로 올린 여권사진이라고 해명했다. 에어비앤비 관계자는 “사용자들이 프로필 사진 대신 여권사진을 올리는 일이 간혹 발생한다”며 “프로필 사진은 공개되는 사진이라 구글에서 검색된 것”이라고 말했다. 그러나 에어비앤비는 사용자들이 실수로 여권을 프로필 사진으로 설정해도 별다른 조치를 하지 않은 것으로 드러났다.

에어비앤비를 사용하려면 본인 인증을 받아야 해 운전면허증이나 여권, 주민등록증, 프로필 사진 등을 제출해야 한다. 이 가운데 프로필 사진 데이터는 에어비앤비의 캐시서버에 저장되는데 이 과정에서 구글 검색에 노출됐다. 캐시서버란 사진, 동영상 등의 데이터를 효율적으로 전달하기 위해 사용자 가까이에 설치하는 서버다.

구글은 검색 시 구글봇이라는 자료 수집 프로그램을 사용한다. 구글봇이 캐시서버의 데이터를 수집하면서 저장된 프로필 사진도 함께 수집됐다. 구글코리아 관계자는 “민감한 정보가 노출되지 않게 조치했다”고 밝혔다.

에어비앤비는 단순 사용자 과실이라고 해명했지만 보안 절차상의 많은 허점을 드러냈다. 사용자가 실수로 올린 여권사진이 삭제되지 않고 그대로 캐시서버에 저장된 것이다. 또 사용자 성명과 같은 특정 검색어가 아니라 단순한 ‘여권’, ‘한국인’과 같은 검색어 조합에도 프로필 사진이 노출돼 의문을 낳고 있다. 프로필 사진이 구글 검색을 통해 공개된다는 사실조차 몰랐다는 사용자도 있다. 한 에어비앤비 사용자는 “에어비앤비에서 프로필 사진을 아무렇게나 올려도 걸리지 않는다고 시인한 꼴”이라고 했다.

보안 업계에서는 에어비앤비의 보안방침이 매우 허술하다는 지적이 나오고 있다. 사용자의 프로필 사진과 같은 개인정보를 구글 검색에 노출되게 한 것부터 문제라고 본다

한 보안업계 관계자는 “에어비앤비가 사용자 과실을 알고 있었다면 더 큰 문제”라며 “에어비앤비는 과실로 올려진 정보를 즉각 삭제할 책임이 있다”고 말했다.

이번 유출 사고는 한국 사용자에만 국한된 것은 아니다. 에어비앤비가 사용한 캐시서버인 ‘muscache’는 미국, 캐나다, 영국 등 해외 에어비앤비 웹사이트에서도 사용하고 있어 해외 사용자의 개인정보 역시 유출됐을 가능성이 높다. 에어비앤비 이용자는 세계적으로 4억명이 넘는다.

배태웅 기자 btu104@hankyung.com