# FIA 버그를 통해 맥스 베르스타펜의 여권과 개인 식별 정보를 접근한 사례

> Clean Markdown view of GeekNews topic #23863. Use the original source for factual precision when an external source URL is present.

## Metadata

- GeekNews HTML: [https://news.hada.io/topic?id=23863](https://news.hada.io/topic?id=23863)
- GeekNews Markdown: [https://news.hada.io/topic/23863.md](https://news.hada.io/topic/23863.md)
- Type: GN+
- Author: [neo](https://news.hada.io/@neo)
- Published: 2025-10-23T17:33:06+09:00
- Updated: 2025-10-23T17:33:06+09:00
- Original source: [ian.sh](https://ian.sh/fia)
- Points: 1
- Comments: 1

## Topic Body

- 보안 연구자들이 **FIA의 드라이버 분류 웹사이트 취약점**을 통해 F1 드라이버들의 민감한 정보를 접근할 수 있었음을 발견  
- 해당 시스템은 **FIA Super Licence**와 별도로 운영되며, 드라이버가 자신의 등급(브론즈/실버/골드/플래티넘)을 신청하거나 갱신할 수 있는 포털임  
- 연구자들은 **HTTP PUT 요청의 매스 어사인먼트(mass assignment) 취약점**을 이용해 관리자 권한을 획득하고, 내부 대시보드에 접근함  
- 이를 통해 **여권, 이메일, 전화번호, 비밀번호 해시, 이력서 등 PII**를 포함한 모든 드라이버의 데이터를 열람할 수 있었음  
- 이번 사례는 **스포츠 산업의 디지털화와 함께 보안 관리의 중요성**이 커지고 있음을 보여주는 대표적 사건임  

---

### 배경: F1과 사이버보안의 교차점
- 최근 몇 년간 **보안 스타트업과 벤처캐피털 투자 증가**로 인해, 주요 네트워킹 이벤트가 F1 그랑프리 중심으로 열리는 추세  
  - CrowdStrike, Darktrace 등은 팀 스폰서로 수백만 달러를 투자  
  - Bitdefender는 공식 **사이버보안 파트너십**을 체결해 레이싱팀의 보안을 담당  
- 연구자 Gal Nagli, Sam Curry, Ian Carroll은 이러한 행사에 참석하며, **F1 관련 지원 웹사이트의 보안 취약점 탐색**을 시도  
- 본 블로그는 **3부작 중 첫 번째**로, F1 관련 시스템에서 발견된 첫 번째 취약점을 다룸  

### FIA 드라이버 분류 시스템 개요
- F1 드라이버는 **FIA Super Licence**를 보유해야 하며, 이는 각국의 모터스포츠 협회(ASN)를 통해 매년 발급  
  - 일정한 **포인트, 나이, 의학 및 필기시험 요건**을 충족해야 함  
- FIA는 별도로 **Driver Categorisation 시스템(drivercategorisation.fia.com)** 을 운영해 드라이버의 등급(브론즈~플래티넘)을 관리  
  - 이 포털은 **공개 자가 등록**을 지원하며, 참가자는 자신의 등급 신청서와 **신분증, 경력 이력서** 등을 업로드해야 함  
  - Super Licence 보유자는 자동으로 플래티넘 등급을 부여받음  

### 취약점 발견 과정
- 연구자들은 계정을 생성한 뒤, 프로필을 수정하는 **HTTP PUT 요청**을 관찰  
  - 요청 자체는 단순했지만, 응답 JSON에는 **roles, birthDate, status 등 추가 필드**가 포함되어 있었음  
- JavaScript 코드를 분석한 결과, 사이트에는 **드라이버, FIA 직원, 관리자(admin)** 등 여러 역할이 존재함을 확인  
- 연구자들은 **roles 필드가 서버 검증 없이 업데이트될 수 있는지** 실험하기 위해, 관리자 역할을 포함한 PUT 요청을 전송  

### 관리자 권한 획득
- 요청 예시는 다음과 같음  
  - `"roles": [{"id": 1, "description": "ADMIN role", "name": "ADMIN"}]`  
- 서버는 이를 정상적으로 처리했고, 응답 JSON에서 **ADMIN 역할이 부여된 상태**로 반환됨  
- 재인증 후 로그인하자, **FIA 관리자용 대시보드**가 표시되었으며, 드라이버 분류, 직원 관리, 이메일 템플릿 수정 등 **서버 측 기능 전체 접근**이 가능해짐  

### 민감 정보 접근 가능성
- 관리자 권한으로 드라이버 프로필을 열람하자, 다음과 같은 정보가 노출됨  
  - **비밀번호 해시, 이메일, 전화번호, 여권 사본, 이력서, 개인 식별 정보(PII)**  
  - 드라이버 평가 관련 내부 코멘트 및 위원회 결정 기록  
- 연구자들은 테스트 중 **맥스 베르스타펜의 여권, 라이선스, PII**에 접근 가능함을 확인했으나, 실제 열람이나 저장은 하지 않았다고 명시  
- 모든 테스트 데이터는 **즉시 삭제**되었으며, 추가 침투는 중단됨  

### 취약점 공개 및 대응
- **2025년 6월 3일**: FIA에 이메일과 LinkedIn을 통해 최초 제보  
- 같은 날 FIA는 **사이트를 오프라인으로 전환**  
- **2025년 6월 10일**: FIA가 **포괄적 수정 완료**를 공식 통보  
- **2025년 10월 22일**: 블로그 게시 및 **공개 보고** 진행  

### 시사점
- 단순한 **매스 어사인먼트 취약점**이 고도의 보안 시스템에서도 발생할 수 있음을 보여주는 사례  
- 스포츠 산업의 디지털화가 가속화되면서, **개인정보 보호와 접근 제어 강화**의 필요성이 커짐  
- 특히 FIA와 같은 국제 기관은 **API 설계 및 권한 검증 로직**에 대한 정기적 보안 점검이 필

## Comments



### Comment 45370

- Author: neo
- Created: 2025-10-23T17:33:07+09:00
- Points: 1

###### [Hacker News 의견](https://news.ycombinator.com/item?id=45673130) 
- 이건 단순한 취약점 하나가 아니라 **여러 보안 실패**의 집합임  
  예를 들어, 지원자 서류를 목적 달성 후에도 실서버에 계속 두는 건 전혀 필요 없는 일임  
  이런 건 **blast radius**(피해 범위) 최소화 원칙에도 어긋남  
  이런 상황이면 평생 무료 티켓이라도 받아야 할 정도임
  - 규칙 1: **사용자 입력 데이터는 절대 신뢰하지 말 것**  
    이 규칙이 깨지는 순간, 다른 모든 규칙이 무너지는 건 시간문제임

- Ian, 웹사이트에 **RSS 피드**를 추가하면 정기 구독자가 더 늘 것 같음
  - Ian은 정말 **글을 잘 쓰는 사람**임
  - 나도 이 의견에 동의함

- 제보 당일에 바로 사이트를 **오프라인으로 내린 것**이 놀라움  
  이런 대응 속도는 보기 드문 일임
  - 맞음, 수정도 꽤 빨랐음  
    이런 규모의 기업이 이렇게 빠르게 움직이는 건 드문 일임

- 이건 정말 **부끄러울 정도로 형편없는 보안 수준**임
  - 이걸 보안이라고 부르기도 민망함, 그냥 완전히 열려 있었음  
    그래도 이런 걸 보면 내 **임포스터 증후군**이 좀 완화되는 느낌임
  - 파티 영상까지 보면 더 놀랄 걸

- 이런 상황이면 작성자들에게 **F1 슈퍼 라이선스**라도 줘서 직접 차를 몰게 했으면 좋았을 텐데 하는 아쉬움이 있음
  - 그게 다였으면 얼마나 좋았을까 하는 생각임

- 혹시 이런 식의 **보안 탐색**을 하다가 법적 위협을 받은 적이 있는지 궁금함  
  버그 바운티 프로그램이 없는 곳에서도 보상 제안을 받은 적이 있는지도 궁금함
  - 이런 행위는 **법적으로 위험할 수 있음**  
    업계에는 실력도 없고 책임감도 없는 사람들이 많음  
    이런 사람들에게는 보안 제보가 곧 ‘귀찮은 일거리’가 되기 때문에, 책임 회피를 위해 제보자를 탓하거나 법적 조치를 취하려는 유인이 생김  
    그래서 **익명으로 활동**하는 게 가장 안전함. 나중에 원하면 신원을 공개할 수도 있음
  - 독일의 “Modern Solution” 사건이 대표적임  
    한 IT 엔지니어가 비밀번호를 발견하고 phpMyAdmin 접근 가능성을 보고했는데, 회사가 그를 고소했고, **최고법원까지 가서 회사가 승소함**  
    [관련 기사 (Heise)](https://www.heise.de/news/Bundesverfassungsgericht-lehnt-Beschwerde-im-Fall-Modern-Solution-ab-10663649.html)
  - 블로그에서 설명된 것처럼 **관리자 권한 상승 시도**는 법적으로 애매함  
    이런 건 보통 공식적인 **레드팀 테스트**나 **침투 테스트 계약** 하에서만 허용됨  
    사후에 “윤리적이었다”고 주장하는 건 충분하지 않음
  - 실제 법적 위협은 드물지만, 일부 회사는 **‘소급 버그 바운티’** 라는 명목으로 뇌물을 제안하기도 함  
    이런 제안은 반드시 거절해야 함
  - 대학 시절 취약점을 제보했을 때 회사가 법적 위협을 했지만, 교수님이 강하게 항의하자 철회했음  
    이후 8년간 그런 일은 없었음  
    요즘은 예전보다 기업들이 이런 활동을 더 이해하는 분위기임

- 내가 제일 좋아하는 해킹 방식은 **JS 읽고 PUT 요청 수정하기**임  
  생각보다 자주 통함

- **낡은 회사는 낡은 보안**을 가짐  
  RD는 잘했지만 전혀 놀랍지 않음  
  해시가 아마 **MD5**일 거라고 거의 확신함
  - 어떤 해시 알고리즘을 쓰는지 궁금함
  - F1 사이트라면 “**move fast and break things**”가 딱 어울림  
    [xkcd 1428](https://xkcd.com/1428/)을 떠올리게 함

- 이상한 점은, 사이트 운영자는 **Ian Carroll**인데 예시에는 유명한 버그 바운티 헌터 **Sam Curry**가 등장함
  - 게시글에 따르면, **Gal Nagli, Sam Curry, Ian**이 함께 F1 관련 사이트들을 해킹해보기로 했다고 함
  - Ian의 다른 글들을 보면 이들이 자주 **협업**하는 걸 볼 수 있음