여성 데이팅 안전 앱 "Tea" 해킹, 사용자 정보가 4chan에 유출됨

 (404media.co)
2P by GN⁺ 1일전 | ★ favorite | 댓글 1개
  • 여성 안전 데이팅 앱 'Tea'의 데이터베이스가 노출되어 수천 명의 사용자 얼굴 사진과 신분증 정보가 4chan에 유출됨
  • 해당 DB는 Google Firebase에 인증 없이 공개되어 있었으며, 4chan 사용자들이 자동화 스크립트를 이용해 대규모로 다운로드
  • Tea는 1.6백만 명 이상의 사용자를 보유하며, 사용자 인증을 위해 셀카와 신분증 업로드를 요구
  • 404 Media는 Tea 앱의 코드 디컴파일을 통해 문제의 저장소 URL이 실제 존재함을 확인
  • Tea 측은 언론이나 Google의 문의에 응답하지 않음, 원 게시글은 삭제됐지만 아카이브와 후속 게시글에서 유출 정황 계속 확인됨

Tea 앱 데이터 유출 사고 개요

노출된 Firebase 저장소

  • Tea 앱의 Google Firebase 데이터베이스가 인증 없이 공개 상태였으며, 누구나 접근 가능했음
  • 4chan 사용자들이 이 취약점을 발견해 개인 정보 및 셀카 사진 수천 건을 다운로드함
  • 데이터는 자동화된 스크립트를 이용해 수집되었으며, 관련 스크립트도 게시글에서 공유됨

유출된 정보

  • 사용자 얼굴 사진, 운전면허증 스캔본, 생년월일, 위치 정보 등이 포함된 것으로 확인됨
  • 4chan 스레드에는 적나라하고 검열되지 않은 이미지라는 표현과 함께, 수천 건의 자료가 수집됐다는 언급이 있었음
  • 게시글은 “Tea 앱에 얼굴과 운전면허증을 업로드했다면, 지금 공개적으로 도크싱된 것”이라는 문구로 확산됨

앱 구조 확인 및 인증 절차

  • Tea 앱은 회원가입 시 사용자 이름, 위치, 생년월일, 얼굴 사진, 신분증 사진을 요구함
  • 404 Media는 Android 버전 앱을 디컴파일하여, 실제로 Firebase 저장소 URL이 코드에 포함되어 있음을 확인함
  • 인증 절차로는 여성 여부를 판단하기 위한 셀카 업로드가 요구되며, 대기 시간이 최대 17시간까지 발생하기도 함

Tea 앱의 성장 배경

  • 2023년 출시 후, 최근 미국 앱스토어 상위권에 오르며 사용자 급증
  • 앱은 ‘Are We Dating the Same Guy?’ 같은 Facebook 그룹과 유사하게, 여성이 남성에 대한 경험을 익명으로 공유하는 기능 제공
  • 앱 페이지에는 “우리 커뮤니티에 물어보세요. 그 남자가 안전한지, 바람피우는 중은 아닌지 확인해 드립니다”라는 문구가 있음

대응 미흡

  • Tea 앱과 설립자인 Sean Cook은 언론 및 개인 메시지에 응답하지 않음
  • Google 측에도 한 유저가 문제를 제보했으나 대응 여부는 불분명함
  • 유출된 Firebase 페이지는 현재는 접근이 차단되어 “Permission denied” 오류가 뜨는 상태임

보안 허점에 대한 우려

  • 사용자의 매우 민감한 정보가 저장되는 서비스임에도 불구하고 기본적인 인증 설정조차 되어 있지 않음
  • 민감한 정보를 요구하는 앱이 보안 태만으로 인해 대규모 유출 사태를 유발한 전형적인 사례로 지적됨
  • 신뢰 기반의 여성 전용 안전 커뮤니티로서의 Tea 앱 브랜드가 큰 타격을 입을 것으로 보임
GN⁺ 1일전  [-]
Hacker News 의견

  • archive.today의 링크에서 볼 수 있음

    • 이용자 인증이 필요한 사이트를 프리월(freewalled)이라고 지칭하는 것, 나름 재미있음

  • 이 앱은 기본적으로 Peeple과 거의 똑같은 구조고 단지 여성만 가입할 수 있게 제한한 버전임. Peeple이 실패한 이유는 편견과 험담을 100% 차단할 수 없었기 때문임. 누군가 질투나서 상대를 비방하고 그게 사실인 것처럼 올려버리면, 피해자는 취업이나 연애에서 타격 있게 됨. 그래서 VC나 온 인터넷이 비웃다 결국 문 닫음. Tea는 도대체 어떻게 합법적인지 의문이고, 합법적으로 명예훼손 타이머 달린 느낌임

    • 명예훼손(비방 또는 모욕)은 사실이 아니거나 직접적으로 사실이라고 오해할 수 있도록 하는 것만 성립함. 실제 위험에 노출된 손해를 발생시키거나 법적으로 이미 손해로 간주되는 것만 해당임. "이 남 지 creepy하고 연인을 끔찍이 대함" 이런 건 순전히 의견일 뿐임. 의견이 명예훼손이 되려면 "나 이 사람에 대해 ~하게 생각하는데 이유는 이러이러한 사실을 목격했기 때문" 같은 구체적이고 허위 사실을 포함해야만 가능함. "느낌이 이 사람은 사냥을 즐기나봄"은 명예훼손이 아님. 미국법상, 앱 서비스 업체는 사용자가 올린 명예훼손적 게시물에 대해서 법적 책임 거의 지지 않음. 서비스에서 특정 컨텐츠를 유도했다는 특수한 입증이 필요하고, 현실에선 앱 개발사가 이 기준을 넘기 어려움
    • 실제로는 이러한 앱이 범죄 성향자 혹은 악의적 이용자가 타인을 팔로우하고 조작하는데 적합한 도구라는 생각임. '안전'을 주장하지만 실상은 근거 없는 말임
    • 만약 Tea가 불법이라면, glassdoor, yelp, Google reviews 등도 모두 불법이어야 하는 의문임. 채용 과정에서 신원 확인도 마찬가지의 논리임
    • Peeple이 편견과 험담을 막지 못해 망했다고 하지만, 사실 편견과 험담이 없다면 누가 이런 앱을 사용하겠냐는 자조적 의견임
    • Tea도 다른 소셜미디어처럼 Section 230 법적 면책 적용을 받는다고 생각함

  • 금융서비스와 직접 관련 없는 회사들이 정부 발급 신분증을 요구할 수 없게 해야 된다고 생각함. Facebook도 마찬가지임. 결국 이런 앱 때문에 수만명이 개인정보 도용 위험에 노출됨. 이는 성장 해킹 구상이라 하기엔 너무 비윤리적임

    • Apple 또는 Google이 보안성 높은 Know Your Customer API를 개발자에게 제공하면 좋을 듯함. 앱에서 이용자가 허락한 정보만 추출 가능하게 하면 여러 앱에 활용 가능함. 이미 있는지 모르겠지만, 최소한 Tea는 그걸 안 쓴 것 같음

  • 지금이야말로 이런 심각한 보안 위반에 대응할 정책을 고민해야 할 때라고 생각함 (Tea의 데이터 저장소도 무방비 상태였던 듯함)

    • App Store 등록심사 때 서버 보안 체크리스트 점검이 필수로 되어야 함
    • App Store 차단 킬스위치를 만들어서 퍼블리셔가 비공개 토큰을 Apple에 제출하고, 그 토큰이 유출되면 앱을 바로 삭제할 수 있어야 함
    • 앱 퍼블리셔에게 스스로 귀중한 개인정보(예: 주요 은행계좌 접근권한)를 소비자 데이터와 같이 백엔드에 저장하게 의무화시켜야 함
      • 회사가 보안 침해시 실질적 손해배상을 법적으로 지게 해야 함. 회사가 보안에 관심 갖게 만드는 유일한 방법은 재정적 불이익임. 이 경우 초고수 해커의 소행이 아니라, 그냥 공개 게시로 모두 노출된 상황임
      • 이용자 입장에서는 진짜 상식적으로 얼굴사진과 운전면허를 험담 앱에 올리면 안 되는 거임. 어릴 때부터 실명 노출을 직업적 용도 외에 안 한다는 게 기본 상식이었음. 시스템이 뭐라 해도 결국 최종 책임은 이용자임. OS가 아무리 보호해도 자기 행동까지 막을 수 없음
      • 이번 사건은 단순히 공개 Firebase 버킷을 쓴 것이고 앱을 차단한다고 해결되는 게 아님. 백엔드가 따로 중계했을 수도 있지만 Apple이 그 보안은 판별 못함
      • 퍼블리셔가 자기 개인정보를 백엔드에 포함하라는 제안은 기발함. 모든 관리자 DB에 MY_PERSONAL_INFO 테이블 의무화 아이디어임
      • 앱 심사자의 권한을 늘리는 것은 반대임. 이미 이유 없이 앱을 거절하는 일이 자주 있는데, 왜 거절됐는지 알아내는 게 너무 고역임

  • 왜 사용자 운전면허 이미지를 인증 끝난 후에라도 한순간이라도 더 저장했는지 의문임

    • 이런 행위엔 엄청난 과징금을 부과해야 함. 제대로 벌칙 없어 이런 행태가 반복됨. 매출의 10% 이상 벌금 먹여야 하고, 정말 심하면 법인만 아니라 실제 지분 보유자 개인 자산까지 손해배상을 물어야 소비자 보호가 실현됨
    • 개인정보를 이렇게 다루는 앱이 실제로는 다른 사람의 사진(동의 여부와 관계없이)과 험담까지 업로드하게 디자인된 앱임. 프라이버시를 정말 신경쓰지 않는 서비스임
    • 아무 근거는 없지만, 이 앱의 수익 모델이 궁금함. 운전면허와 전화번호 정보 팔다가 돈 벌려고 한 것 아닌지 추측됨
    • 이런 게 바로 vibe coding의 현실임
    • 다른 보도에 따르면 신규 계정 인증 대기열이 17시간이 넘었다고 함. 4chan 유저들이 털어간 게 아마 인증 대기열 이미지였을 수 있음

  • 누군가 LLM를 활용해 가짜 프로필을 만들고 활동을 자동생성할 수 있으면, 이런 사용자 데이터 신뢰성이나 효용성이 전혀 없을 것임. 운전면허도 위조 가능하고, 실제 운전면허를 들고 다른 사람인 척 할 수도 있음. Tea의 서비스 자체와 구현, 프로세스는 설계 결함이고 개발자들에게 법적 리스크임

    • 민감한 정보 제출할 때 조금 더 신중해지라는 교훈이면 좋겠음. 앱이 예쁘다고 혹은 누가 서비스하는지 모를 때 ID 제출을 쉽게 하면 안 됨. 예전에 캐나다 정부 기관과 일하다가 신분증을 이메일로 달라고 해서 암호화 링크로 보냈더니 거부해서 직접 찾아갈 수밖에 없게 됨. 인터넷이 10년 만에 '유튜브에 실명 쓰지마'에서 '아무 앱이나 신분증 제출'로 변한 현실이 미침
    • 내 운전면허가 유출되고 스토커가 집에 찾아오면, 그 사람이 명백히 위조 면허일 거라며 돌려보낼 것임
    • 운전면허 위조나 타인 명의로 등록하는 건 실제로는 꽤 어렵다고 생각함. 실제로 내 주변에 자기 면허를 남에게 빌려줄 사람 없음

  • IT 창업할 사람이 최소 한 명은 기술적 배경이 있어야 한다고 확신함. 외주를 다 맡겨도 직접 보안 관련 질문을 할 줄 알아야 함. 문제는 데이터베이스가 그냥 인터넷에 노출된 게 아니라 실제로 완전 공개되어 있었음. 사람들 ID를 공개 DB에 보관했다는 건 그야말로 충격임

    • 이제는 vibe coding 도구가 있으니 기술적이거나 뭐 그런 거 필요 없고, 그냥 결과만 내면 된다는 분위기임. LinkedIn 인플루언서나 창업가들은 배포 방식에 관심 없고 결과만 본다는 것임. IT와 보안을 최소화해야 할 비용으로만 여긴 것이 최적의 보안 결과가 아니라는 걸 깨달은 지금, 또다시 다 던지고 남 걱정만 하게 생김
    • 실제로 인증 없는 공개 firebase 데이터베이스가 수십만 개 넘게 풀려 있음. 포춘 500 기업까지 포함해서 무방비 노출이 심각함 [bleepingcomputer 기사]
    • 기술적 역량만으로 불충분함. 보안 배경이 필수임. 정말 보안에 관해 최악이었던 사람 중에는 기술에 자신감만 있고 보안 소양이 없던 사람들이 많았음
    • 의사, 변호사, 건축사는 5~8년 혹은 더 공부하고 시험을 봄. IT도 앞으로는 몇십 년 더 지나면 법적으로도 규제받게 될 것임. 이제까지는 자유롭고 재미있었지만, 앞으로는 모든 게 IT에 의존하게 되므로 매우 엄격해질 거라고 생각함

  • “데이터 유출”이라는 표현이 언론에선 쓰였지만, 실제로는 노출된 DB였음. 이런 경우엔 더 정확한 제목이 필요함. 기사 헤드라인에서 해커 탓보다 서비스 운영진 잘못을 먼저 강조해야 함

    • “유출”이라는 말이 잘못된 선택임. 최근 뚫린 걸로 오해받지만, 실제론 앱 시작 시점부터 아무나 볼 수 있었고 오늘에서야 밝혀진 거임. 오히려 더 심각한 상황임
    • 내 경험상 404media 발 기사들은 HN에 실릴 만한 퀄리티가 아닌 경우가 많았음

  • 국가나 지방정부가 ID 인증을 강화하는 흐름에서, 이런 사고가 왜 나쁜 결과를 낳을 수 있는지 잘 보여주는 사례임

    • 완전히 공감함

  • “‘안전’이라는 단어가 제목에서 너무 중요한 역할을 하는데, 사실 그냥 험담 앱임”

답변달기