독일 대마 소셜클럽 회원 관리 시스템(Cannabis Club Systems, Nefos, PuffPal 등)에서 100만 건 이상의 여권·신분증 스캔본과 회원 개인정보가 인터넷에 그대로 노출됐다. 원인은 늘 그렇듯 화려한 해킹이 아니라 '인증 없이 열려 있던 데이터베이스'와 잘못된 접근 권한 설정이었다. 누구든 URL만 알면 민감한 신원 정보를 내려받을 수 있는 상태였던 셈이다. IT 종사자에게 주는 교훈은 분명하다. 첫째, 여권·신분증 같은 고위험 데이터는 애초에 원본 스캔본을 저장하지 말거나, 저장하더라도 암호화와 접근 통제를 기본값으로 강제해야 한다. 둘째, 클라우드 스토리지·DB의 기본 공개 설정을 절대 신뢰하지 말고 배포 전 권한을 점검해야 한다. 셋째, 소규모 버티컬 SaaS일수록 보안 검증이 허술하기 쉬워, 외주·서드파티 솔루션 도입 시 보안 실사가 필수다. '설정 실수' 한 번이 100만 명의 평생 신원 정보를 위협한다.