Tell HN: Fiverr 고객 파일이 공개되어 검색 가능했습니다

(news.ycombinator.com)

Hacker News2026년 4월 14일스타트업

글로벌 프리랜서 플랫폼 Fiverr가 Cloudinary 서비스를 사용하는 과정에서 설정 오류로 인해 고객의 민감한 개인정보(세금 신고서 등)가 포함된 파일들이 구글 검색 결과에 노출되는 사고가 발생했습니다. 보안 취약점이 보고된 후 40일 동안 적절한 대응이 이루어지지 않았으며, 공개된 URL이 보안 인증 없이 누구나 접근 가능한 상태로 방치되었습니다.

이 글의 핵심 포인트

1Fiverr의 Cloudinary 기반 파일 저장소 설정 오류로 민감한 PII(개인식별정보) 노출
2서명된(Signed) URL 대신 공개(Public) URL을 사용하여 구글 검색 결과에 노출됨
3보안 취약점 제보 후 40일 동안 Fiverr 보안팀의 공식적인 대응 부재
4세금 신고서(1040 등)와 같은 고위험 데이터가 포함된 문서가 검색 가능했음
5Fiverr 측은 사용자의 자발적 공유라고 주장했으나, 커뮤니티는 보안 설정 미비로 판단

이 글에 대한 공공지능 분석

왜 중요한가

단순한 기술적 버그를 넘어, 기업의 보안 의식과 위기 대응 프로세스의 부재를 보여주는 사례입니다. 특히 개인식별정보(PIHL)가 포함된 문서가 구글 검색 엔진에 인덱싱되었다는 점은 사용자 신뢰에 치명적인 타격을 줄 수 있는 '비즈니스 종결급' 사고입니다.

배경과 맥락

Fiverr는 이미지 및 PDF 처리를 위해 Cloudinary를 사용하고 있는데, S3와 마찬가지로 Cloudinary 역시 서명된(Signed) 만료 URL 기능을 지원함에도 불구하고, 비용이나 편의를 위해 공개(Public) URL 방식을 채택했습니다. 이로 인해 파일의 경로를 추측하거나 검색 엔진이 크롤링할 수 있는 경로가 열리게 되었습니다.

업계 영향

SaaS 및 마켓플레이스 플랫폼 운영자들에게 클라우드 자산(Storage, CDN)의 접근 제어 설정이 얼마나 중요한지 경종을 울립니다. 또한, 보안 취약점 제보(Responsible Disclosure)에 대한 기업의 무대응이 어떻게 커뮤니티의 공분을 사고 2차 피해(공개 폭로)로 이어지는지 보여주는 반면교사입니다.

한국 시장 시사점

개인정보보호법(PIPA)이 매우 엄격한 한국 시장에서, 클라우드 설정 오류로 인한 데이터 유출은 막대한 과징금과 직결됩니다. 한국의 핀테크, 헬스케어 스타트업들은 'Privacy by Design' 원칙에 따라 데이터 접근 권한을 설계 단계부터 검토해야 하며, 보안 취약점 제보 프로세스를 반드시 구축해야 합니다.

이 글에 대한 큐레이터 의견

스타트업 창업자들에게 이번 사건은 '기능 구현(Feature)'보다 '인프라 보안(Infrastructure Security)'이 비즈니스의 존속을 결정짓는 핵심 요소임을 시사합니다. Fiverr는 사용자에게 편리한 파일 공유 기능을 제공하려 했으나, 그 과정에서 'Signed URL'이라는 가장 기본적인 보안 장치를 생략했습니다. 이는 기술적 부채가 어떻게 비즈니스 리스크로 전환되는지를 보여주는 전형적인 사례입니다.

특히 주목해야 할 점은 Fiverr 보안팀의 대응 방식입니다. 취약점 제보 후 40일간 침묵한 것은 기술적 실수보다 더 큰 '운영적 실패'입니다. 보안 사고 자체보다 사고를 은폐하거나 방치하려는 태도가 커뮤니티의 신뢰를 완전히 무너뜨립니다. 창업자들은 보안 사고 발생 시 투명한 소통과 즉각적인 패치 프로세스를 갖춘 '보안 문화'를 조직 내에 정착시켜야 합니다.

실행 가능한 인사이트를 드리자면, 클라우드 스토리지 사용 시 반드시 'Default Deny' 원칙을 적용하고, 모든 민감 데이터 접근에는 만료 시간이 있는 서명된 URL을 사용하십시오. 또한, 정기적인 자동화된 스캔 도구를 통해 공개된 버킷이나 인덱싱된 URL이 있는지 점검하는 프로세스를 CI/CD 파이프라인에 포함시키는 것이 필요합니다.

원문 보기 →