AI 요약
플랫폼 보안 엔지니아이자 다이빙 강사인 작성자는 코스타리카 코코스섬(Cocos Island) 여행 중 자신이 가입한 대형 다이빙 보험사의 회원 포털에서 심각한 취약점을 발견했습니다. 이 시스템은 신규 회원 등록 시 순차적으로 증가하는 숫자형 ID를 부여하고, 모든 사용자에게 동일한 기본 비밀번호를 할당하는 치명적인 구조를 가지고 있었습니다. 더욱이 첫 로그인 시 비밀번호 변경을 강제하지 않았으며, MFA(다중 인증)나 접속 시도 제한(Rate Limiting) 같은 기본적인 보안 장치조차 부재했습니다. 작성자는 2025년 4월 28일에 이를 제보하고 30일간의 엠바고 기간을 거쳤으나, 기업 측의 대응은 기술적 보완에만 그쳤을 뿐 피해 사실 고지에는 소극적이었습니다. 이 사건은 보안 취약점을 발견한 제보자에게 감사 대신 법적 위협으로 대응하는 기업들의 잘못된 관행을 비판하고 있습니다.
핵심 인사이트
- 제보 및 엠바고 일정: 2025년 4월 28일에 취약점을 공식 제보했으며, 표준 30일 엠바고 기간은 2025년 5월 28일에 만료되었습니다.
- 취약점의 핵심: 사용자 ID가 'XXXXXX0', 'XXXXXX1'처럼 순차적으로 증가(incrementing)하며, 모든 계정에 동일한 정적 기본 비밀번호가 부여되었습니다.
- 노출된 정보: 이름, 생년월일, 주소, 전화번호, 이메일 등 다이빙 보험 가입 시 입력한 민감한 개인정보 전체가 노출될 위험에 처해 있었습니다.
주요 디테일
- 보안 장치 전무: 시스템에 속도 제한(Rate Limiting), 계정 잠금(Account Lockout), 다중 인증(MFA) 기능이 전혀 없어 무차별 대입 공격에 무방비했습니다.
- 비밀번호 정책 결함: 강사가 학생을 대리 등록하는 구조에서 생성된 계정들은 비밀번호 변경이 강제되지 않아 'password123' 수준의 보안성을 유지했습니다.
- 책임 있는 공개 절차: 작성자는 취약점 확인에 필요한 최소한의 접근만 수행한 후 즉시 중단하고 기업 측에 정보를 전달했습니다.
- 기업의 미온적 사후 조치: 취약점은 수정되었으나, 영향을 받은 사용자들에 대한 공식적인 통지 여부는 현재까지 확인되지 않았습니다.
- 법적 대응 논란: 제목에서 암시하듯, 기업은 보안 결함 해결보다 제보자에 대한 법적 대응(변호사 선임)을 우선시하는 태도를 보였습니다.
향후 전망
- 보안 제보 문화 위축: 기술적 결함을 선의로 제보한 전문가에게 법적 위협을 가하는 사례가 늘어날 경우, 기업의 잠재적 보안 사고 위험은 더욱 커질 것으로 예상됩니다.
- 개인정보보호 규제 강화: 사용자 고지 의무를 소홀히 한 보험사에 대해 각국 규제 기관의 데이터 보호법 위반 조사 및 징벌적 과징금 부과 가능성이 있습니다.