여성 전용 데이팅 안전 플랫폼 ‘Tea’ 앱, 신분증 이미지 및 110만 건 사적 메시지 유출

Tea의 오래된 저장소가 아무런 인증 없이 외부에서 접근 가능한 상태로 방치되면서, 72,000건에 달하는 신분증 등 이미지 유출

7월, 미국 등 영어권 국가에서 주로 사용하는 여성 전용 데이팅 안전 플랫폼으로 유명한 ‘Tea’ 앱이 심각한 개인정보 유출 사고를 겪었다. 본인 인증을 위해 수집된 사용자 셀카와 신분증 이미지가 공개된 데 이어, 약 110만 건에 달하는 사용자 간의 사적인 메시지까지 외부에 노출되면서, 사용자 프라이버시 침해에 대한 우려가 커지고 있다.

Tea는 여성만 가입 가능한 플랫폼으로, 남성에 대한 리뷰를 공유하고 데이팅 관련 위험 요소를 사전에 파악할 수 있도록 설계됐다. 가입 과정에서 여성임을 인증하기 위해 정부 발급 신분증과 셀카를 제출해야 하며, 이후 사용자들은 게시물과 메시지를 통해 정보를 공유할 수 있었다.

하지만 Tea의 오래된 저장소가 아무런 인증 없이 외부에서 접근 가능한 상태로 방치되면서, 72,000건에 달하는 이미지가 유출됐다. 이 중 약 13,000건은 사용자들이 제출한 신분증과 셀카였고, 나머지는 게시물이나 댓글, 메시지에 첨부된 이미지들이었다. 일부 이미지들은 외모 평가 사이트나 사용자 위치를 추정하는 지도에까지 악용됐다.

이어 발견된 두 번째 데이터베이스는 피해를 더욱 확산시켰다. Tea 플랫폼에서 2023년부터 2025년 7월까지의 사용자 간 개인 메시지 110만 건이 포함된 데이터베이스를 확인했다. 이 메시지에는 낙태, 외도, 가정 폭력 등 민감한 내용이 포함돼 있었으며, 메시지 내부에 포함된 전화번호, 소셜미디어 계정 등으로 사용자 신원이 식별될 가능성도 존재했다.

Tea 앱의 API 키만 있으면 누구나 해당 데이터에 접근할 수 있었으며, Tea 측의 백엔드 시스템과 저장소 간의 보안 분리가 제대로 되어 있지 않았다고 지적했다. Tea는 자사 API는 안전하다고 주장했지만, 실상은 전혀 달랐다는 것이 드러났다.

보안전문가들은 이번 사건이 매우 기초적인 보안 실책에서 비롯된 것이라고 입을 모았다. Tea는 사이버 괴롭힘 수사를 위한 협조 목적으로 셀카와 신분증 이미지를 삭제하지 않았다고 해명했지만, 이는 데이터 보관의 법적 근거가 부족하며 사용자 동의 없이 장기간 보관된 민감 정보는 심각한 문제가 될 수 있다는 지적이 나왔다.

Tea는 이번 유출이 2024년 2월 이전에 가입한 사용자들에게 영향을 미친다고 밝혔으며, 외부 보안 전문업체 및 수사기관과 협력해 사고 원인을 조사 중이라고 밝혔다. 또한, 일부 기능을 일시 중단하고 사용자에게 알림을 발송했으며, 향후 신원 보호 서비스도 제공할 계획이다.

전문가들에 의하면 기술적으로 봤을 때, Tea의 문제는 다음과 같다. 파이어베이스 저장소에 퍼블릭 읽기 권한이 적용돼 있었고, 인증 절차가 전무했다. 저장된 데이터는 암호화되지 않았으며, 민감 정보인 인증 사진과 메시지 첨부 파일이 평문 상태로 존재했다. 또한, API 키를 통해 메시지 서버에 접근이 가능했고, 저장소와의 분리도 이뤄지지 않아 정보 유출의 범위가 커졌다.

Firebase(파이어베이스)는 구글이 제공하는 모바일 및 웹 애플리케이션 개발을 위한 백엔드 플랫폼이다. 개발자들이 서버 인프라를 따로 구축하지 않고도 앱의 핵심 기능을 쉽게 구현할 수 있도록 다양한 서비스를 통합 제공한다.

보안 전문가들은 이와 같은 사고를 예방하기 위해 다음과 같은 조언을 전했다. 첫째, 클라우드 저장소 설정은 무조건 인증 기반으로 구성해야 하며, 외부 공개 여부는 반드시 점검해야 한다. 둘째, 인증을 위한 민감 정보는 사용 후 즉시 삭제해야 하며, 장기간 보관 시에는 명확한 법적 근거와 사용자 동의가 필요하다. 셋째, 데이터는 저장 시 암호화가 필수이며, 특히 개인 메시지처럼 민감한 정보는 종단간 암호화 구조로 처리해야 한다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★