여권 사진이 인터넷에 떠돌고 있다

지금 이 순간에도, 누군가의 여권 사진과 얼굴 셀피가 인터넷에 열려 있다.

영국 비자 신청 대행 사이트 UK Visa Portal에서 최소 10만 건 이상의 개인 문서가 외부에 무방비 상태로 노출된 사실이 확인됐다. 테크 매체 TechCrunch가 익명 제보를 받아 실제 피해자들에게 연락해 데이터 진위를 직접 확인했다. 노출된 정보는 단순한 이메일 주소가 아니다. 여권 스캔본과 본인 확인용 셀피 — 신원 도용에 가장 직접적으로 쓰일 수 있는 자료들이다.

공식 사이트로 착각한 사람들

UK Visa Portal은 영국 정부와 무관한 민간 대행 업체다. 그러나 사이트 이름과 디자인 때문에 적지 않은 신청자들이 공식 채널인 GOV.UK 사이트 대신 이곳에 수수료를 내고 개인정보를 올렸다. 영국 전자여행허가(ETA)를 포함한 비자 신청은 별도의 이민 전문 변호사를 고용하지 않는 한 제3자 대행 서비스를 이용할 필요가 없다. 공식 정부 사이트에서 직접 신청하면 된다.

TechCrunch는 보안 취약점을 발견한 뒤 해당 업체에 이메일로 문제를 알렸다. 그러나 돌아온 건 회사 경영진이 아닌 법률 대리인과 홍보 회사였다. 기자 측은 노출된 데이터의 민감성을 이유로 일반 고객지원 이메일로는 구체적인 내용을 공유할 수 없다며 경영진과의 직접 소통을 요청했다. 현재까지 경영진으로부터 아무런 연락이 없었으며, 보안 취약점은 여전히 열려 있다.

'닫혀 있어야 할 문'이 열려 있다는 것

광고

광고주 모집

[email protected]

광고

이 사건이 단순한 데이터 유출 사고와 다른 점은 세 가지다.

첫째, 노출된 정보의 성격이다. 여권과 얼굴 사진의 조합은 금융 사기, 계정 탈취, 딥페이크 제작에 즉각 활용될 수 있다. 신용카드 번호는 바꿀 수 있지만, 얼굴과 여권 번호는 바꾸기 어렵다.

둘째, 피해자들이 스스로 위험에 처했다는 사실을 모른다는 점이다. 비자를 기다리는 사람들은 자신의 서류가 지금 이 순간 누구에게든 열려 있다는 걸 알지 못한다.

셋째, 업체의 대응이다. 보안 문제를 신고할 창구조차 없는 사이트, 경영진 연락처가 공개되지 않은 회사, 취약점 공개 이후에도 수정하지 않는 태도 — 이 세 가지는 사고 이후 대응 능력의 부재를 보여준다.

영국 개인정보보호 규정(UK GDPR)상 이 같은 사고는 감독 기관인 정보위원회(ICO)에 72시간 이내 보고 의무가 있다. 해당 업체가 이 의무를 이행했는지는 현재 확인되지 않는다.

한국인 영국 비자 신청자도 이 사이트를 이용했을 가능성이 있다. 영국 방문이나 유학을 준비하며 검색을 통해 유입된 경우라면 피해 여부를 직접 확인해볼 필요가 있다.