Fiverr에서 고객 파일이 검색 엔진에 노출됐다 — 긱 이코노미의 보안 사각지대

프리랜서에게 로고 디자인을 맡기면서 올린 브랜드 가이드라인, 번역을 의뢰하면서 보낸 내부 문서. 이런 파일들이 구글 검색만으로 누구나 열어볼 수 있었다면 어떨까요. 최근 Fiverr 플랫폼에서 고객이 업로드한 파일들이 공개적으로 검색 가능한 상태로 방치되어 있었다는 사실이 알려지면서, 긱 이코노미 플랫폼의 보안 책임 범위에 대한 논의가 다시 수면 위로 올라왔습니다.

무엇이 노출됐나

문제의 핵심은 단순합니다. Fiverr에서 거래 과정 중 고객이 셀러에게 전달한 파일들이 인증 없이 접근 가능한 URL로 저장되어 있었다는 것입니다. 파일 URL의 패턴만 알면, 혹은 검색 엔진의 크롤러가 해당 경로를 인덱싱하기만 하면, 제3자가 아무런 로그인 없이 파일을 열어볼 수 있는 구조였습니다.

업로드되는 파일의 성격을 생각하면 문제는 더 심각해집니다. 로고 시안에 포함된 미공개 브랜드 전략, 번역 의뢰에 담긴 계약서 초안, 개발 외주에 첨부된 데이터베이스 스키마. 이 모든 것이 사실상 공개 웹에 올려져 있었던 셈입니다.

“공유 링크"와 “공개 파일"은 다릅니다

Fiverr 측의 입장을 추측해보면, 파일 URL은 길고 복잡한 해시값을 포함하고 있어서 “추측이 사실상 불가능하다"는 논리를 펼 가능성이 높습니다. 이른바 Security through Obscurity, 즉 “복잡하니까 안전하다"는 접근입니다.

하지만 보안 업계에서 이 논리가 통한 적은 거의 없습니다. URL이 아무리 복잡해도, 브라우저 히스토리 유출, 리퍼러 헤더를 통한 노출, 검색 엔진 크롤링 등 경로는 다양합니다. 실제로 과거 Google Docs, Trello 보드, AWS S3 버킷에서도 동일한 패턴의 데이터 노출이 반복적으로 발생해왔습니다. “링크를 아는 사람만 접근 가능"은 “공개"와 실질적으로 차이가 없다는 것이 업계의 상식입니다.

긱 이코노미 플랫폼이 가진 구조적 취약점

이 문제가 Fiverr만의 이슈가 아닌 이유가 있습니다. 긱 이코노미 플랫폼은 태생적으로 보안에 취약한 구조를 갖고 있습니다.

첫째, 거래 당사자가 불특정 다수입니다. 기업 내부 시스템이라면 접근 권한을 세밀하게 설정할 수 있지만, 하루에도 수천 건의 새로운 거래가 생기는 마켓플레이스에서는 파일 접근 제어의 복잡도가 기하급수적으로 높아집니다.

둘째, 보안보다 편의성이 우선됩니다. 프리랜서와 고객 사이의 파일 전달이 한 번이라도 실패하면 거래 이탈로 이어집니다. 플랫폼 입장에서는 인증 절차를 추가하는 것보다 “바로 열리는 링크"를 제공하는 쪽이 비즈니스 지표에 유리합니다.

셋째, 책임 소재가 모호합니다. 고객이 올린 파일인가, 플랫폼이 보관하는 파일인가. 약관상 Fiverr는 파일 보관의 책임을 제한하고 있을 가능성이 높고, 고객 대부분은 약관을 읽지 않습니다.

이용자가 당장 할 수 있는 것

Fiverr뿐 아니라 Upwork, Freelancer.com, 크몽 등 어떤 프리랜서 플랫폼을 사용하든 몇 가지 원칙을 지키는 것이 좋습니다.

민감한 파일은 플랫폼 메시지 시스템에 직접 올리기보다, 별도의 암호화된 공유 수단을 사용하는 것이 안전합니다. 프로젝트가 완료된 뒤에는 업로드한 파일을 삭제할 수 있는지 확인해보세요. 그리고 가장 기본적인 원칙 — 유출되면 안 되는 정보는 애초에 외부 플랫폼에 올리지 않는 것이 최선입니다.

플랫폼의 책임은 어디까지인가

근본적인 질문은 이것입니다. 파일을 업로드하는 기능을 제공하는 순간, 그 파일의 보안 책임은 플랫폼에 있는 것 아닌가. “우리는 중개만 합니다"라는 면책 논리는 결제 정보에는 적용되지 않습니다. PCI DSS 같은 규정이 카드 정보 처리를 엄격하게 규제하기 때문입니다. 그런데 고객의 사업 기밀이 담긴 파일은 왜 같은 수준의 보호를 받지 못할까요.

유럽의 GDPR, 한국의 개인정보보호법이 점차 적용 범위를 넓히고 있지만, “거래 중 전달된 업무 파일"이라는 회색지대는 아직 명확한 규제 프레임워크 안에 들어와 있지 않습니다.

긱 이코노미 시장이 2025년 기준 전 세계 5,000억 달러 규모를 넘어선 지금, 플랫폼 보안은 더 이상 부가 기능이 아니라 핵심 인프라여야 합니다. Fiverr의 이번 사례가 일회성 실수로 묻히지 않고, 업계 전체의 보안 기준을 끌어올리는 계기가 될 수 있을까요. 아니면 또다시 “유감 표명 — 패치 — 망각"의 사이클이 반복될까요.