- 보안 연구자들이 FIA의 드라이버 분류 웹사이트 취약점을 통해 F1 드라이버들의 민감한 정보를 접근할 수 있었음을 발견
- 해당 시스템은 FIA Super Licence와 별도로 운영되며, 드라이버가 자신의 등급(브론즈/실버/골드/플래티넘)을 신청하거나 갱신할 수 있는 포털임
- 연구자들은 HTTP PUT 요청의 매스 어사인먼트(mass assignment) 취약점을 이용해 관리자 권한을 획득하고, 내부 대시보드에 접근함
- 이를 통해 여권, 이메일, 전화번호, 비밀번호 해시, 이력서 등 PII를 포함한 모든 드라이버의 데이터를 열람할 수 있었음
- 이번 사례는 스포츠 산업의 디지털화와 함께 보안 관리의 중요성이 커지고 있음을 보여주는 대표적 사건임
배경: F1과 사이버보안의 교차점
- 최근 몇 년간 보안 스타트업과 벤처캐피털 투자 증가로 인해, 주요 네트워킹 이벤트가 F1 그랑프리 중심으로 열리는 추세
- CrowdStrike, Darktrace 등은 팀 스폰서로 수백만 달러를 투자
- Bitdefender는 공식 사이버보안 파트너십을 체결해 레이싱팀의 보안을 담당
- 연구자 Gal Nagli, Sam Curry, Ian Carroll은 이러한 행사에 참석하며, F1 관련 지원 웹사이트의 보안 취약점 탐색을 시도
- 본 블로그는 3부작 중 첫 번째로, F1 관련 시스템에서 발견된 첫 번째 취약점을 다룸
FIA 드라이버 분류 시스템 개요
- F1 드라이버는 FIA Super Licence를 보유해야 하며, 이는 각국의 모터스포츠 협회(ASN)를 통해 매년 발급
- 일정한 포인트, 나이, 의학 및 필기시험 요건을 충족해야 함
- FIA는 별도로 Driver Categorisation 시스템(drivercategorisation.fia.com) 을 운영해 드라이버의 등급(브론즈~플래티넘)을 관리
- 이 포털은 공개 자가 등록을 지원하며, 참가자는 자신의 등급 신청서와 신분증, 경력 이력서 등을 업로드해야 함
- Super Licence 보유자는 자동으로 플래티넘 등급을 부여받음
취약점 발견 과정
- 연구자들은 계정을 생성한 뒤, 프로필을 수정하는 HTTP PUT 요청을 관찰
- 요청 자체는 단순했지만, 응답 JSON에는 roles, birthDate, status 등 추가 필드가 포함되어 있었음
- JavaScript 코드를 분석한 결과, 사이트에는 드라이버, FIA 직원, 관리자(admin) 등 여러 역할이 존재함을 확인
- 연구자들은 roles 필드가 서버 검증 없이 업데이트될 수 있는지 실험하기 위해, 관리자 역할을 포함한 PUT 요청을 전송
관리자 권한 획득
- 요청 예시는 다음과 같음
-
"roles": [{"id": 1, "description": "ADMIN role", "name": "ADMIN"}]
-
- 서버는 이를 정상적으로 처리했고, 응답 JSON에서 ADMIN 역할이 부여된 상태로 반환됨
- 재인증 후 로그인하자, FIA 관리자용 대시보드가 표시되었으며, 드라이버 분류, 직원 관리, 이메일 템플릿 수정 등 서버 측 기능 전체 접근이 가능해짐
민감 정보 접근 가능성
- 관리자 권한으로 드라이버 프로필을 열람하자, 다음과 같은 정보가 노출됨
- 비밀번호 해시, 이메일, 전화번호, 여권 사본, 이력서, 개인 식별 정보(PII)
- 드라이버 평가 관련 내부 코멘트 및 위원회 결정 기록
- 연구자들은 테스트 중 맥스 베르스타펜의 여권, 라이선스, PII에 접근 가능함을 확인했으나, 실제 열람이나 저장은 하지 않았다고 명시
- 모든 테스트 데이터는 즉시 삭제되었으며, 추가 침투는 중단됨
취약점 공개 및 대응
- 2025년 6월 3일: FIA에 이메일과 LinkedIn을 통해 최초 제보
- 같은 날 FIA는 사이트를 오프라인으로 전환
- 2025년 6월 10일: FIA가 포괄적 수정 완료를 공식 통보
- 2025년 10월 22일: 블로그 게시 및 공개 보고 진행
시사점
- 단순한 매스 어사인먼트 취약점이 고도의 보안 시스템에서도 발생할 수 있음을 보여주는 사례
- 스포츠 산업의 디지털화가 가속화되면서, 개인정보 보호와 접근 제어 강화의 필요성이 커짐
- 특히 FIA와 같은 국제 기관은 API 설계 및 권한 검증 로직에 대한 정기적 보안 점검이 필
Hacker News 의견
-
이건 단순한 취약점 하나가 아니라 여러 보안 실패의 집합임
예를 들어, 지원자 서류를 목적 달성 후에도 실서버에 계속 두는 건 전혀 필요 없는 일임
이런 건 blast radius(피해 범위) 최소화 원칙에도 어긋남
이런 상황이면 평생 무료 티켓이라도 받아야 할 정도임- 규칙 1: 사용자 입력 데이터는 절대 신뢰하지 말 것
이 규칙이 깨지는 순간, 다른 모든 규칙이 무너지는 건 시간문제임
- 규칙 1: 사용자 입력 데이터는 절대 신뢰하지 말 것
-
Ian, 웹사이트에 RSS 피드를 추가하면 정기 구독자가 더 늘 것 같음
- Ian은 정말 글을 잘 쓰는 사람임
- 나도 이 의견에 동의함
-
제보 당일에 바로 사이트를 오프라인으로 내린 것이 놀라움
이런 대응 속도는 보기 드문 일임- 맞음, 수정도 꽤 빨랐음
이런 규모의 기업이 이렇게 빠르게 움직이는 건 드문 일임
- 맞음, 수정도 꽤 빨랐음
-
이건 정말 부끄러울 정도로 형편없는 보안 수준임
- 이걸 보안이라고 부르기도 민망함, 그냥 완전히 열려 있었음
그래도 이런 걸 보면 내 임포스터 증후군이 좀 완화되는 느낌임 - 파티 영상까지 보면 더 놀랄 걸
- 이걸 보안이라고 부르기도 민망함, 그냥 완전히 열려 있었음
-
이런 상황이면 작성자들에게 F1 슈퍼 라이선스라도 줘서 직접 차를 몰게 했으면 좋았을 텐데 하는 아쉬움이 있음
- 그게 다였으면 얼마나 좋았을까 하는 생각임
-
혹시 이런 식의 보안 탐색을 하다가 법적 위협을 받은 적이 있는지 궁금함
버그 바운티 프로그램이 없는 곳에서도 보상 제안을 받은 적이 있는지도 궁금함- 이런 행위는 법적으로 위험할 수 있음
업계에는 실력도 없고 책임감도 없는 사람들이 많음
이런 사람들에게는 보안 제보가 곧 ‘귀찮은 일거리’가 되기 때문에, 책임 회피를 위해 제보자를 탓하거나 법적 조치를 취하려는 유인이 생김
그래서 익명으로 활동하는 게 가장 안전함. 나중에 원하면 신원을 공개할 수도 있음 - 독일의 “Modern Solution” 사건이 대표적임
한 IT 엔지니어가 비밀번호를 발견하고 phpMyAdmin 접근 가능성을 보고했는데, 회사가 그를 고소했고, 최고법원까지 가서 회사가 승소함
관련 기사 (Heise) - 블로그에서 설명된 것처럼 관리자 권한 상승 시도는 법적으로 애매함
이런 건 보통 공식적인 레드팀 테스트나 침투 테스트 계약 하에서만 허용됨
사후에 “윤리적이었다”고 주장하는 건 충분하지 않음 - 실제 법적 위협은 드물지만, 일부 회사는 ‘소급 버그 바운티’ 라는 명목으로 뇌물을 제안하기도 함
이런 제안은 반드시 거절해야 함 - 대학 시절 취약점을 제보했을 때 회사가 법적 위협을 했지만, 교수님이 강하게 항의하자 철회했음
이후 8년간 그런 일은 없었음
요즘은 예전보다 기업들이 이런 활동을 더 이해하는 분위기임
- 이런 행위는 법적으로 위험할 수 있음
-
내가 제일 좋아하는 해킹 방식은 JS 읽고 PUT 요청 수정하기임
생각보다 자주 통함 -
낡은 회사는 낡은 보안을 가짐
RD는 잘했지만 전혀 놀랍지 않음
해시가 아마 MD5일 거라고 거의 확신함- 어떤 해시 알고리즘을 쓰는지 궁금함
- F1 사이트라면 “move fast and break things”가 딱 어울림
xkcd 1428을 떠올리게 함
-
이상한 점은, 사이트 운영자는 Ian Carroll인데 예시에는 유명한 버그 바운티 헌터 Sam Curry가 등장함
- 게시글에 따르면, Gal Nagli, Sam Curry, Ian이 함께 F1 관련 사이트들을 해킹해보기로 했다고 함
- Ian의 다른 글들을 보면 이들이 자주 협업하는 걸 볼 수 있음