해커, 막스 베르스타펜 여권 정보 포함 FIA 드라이버 데이터 일시 접근

해커, 막스 베르스타펜 여권 정보 포함 FIA 드라이버 데이터 일시 접근

윤리적 해커 그룹이 최근 FIA의 드라이버 라이선스 포털 취약점을 발견하고, 막스 베르스타펜의 여권 정보를 포함한 민감한 데이터에 잠시 접근했습니다. 이번 여름 발생한 이 사건은 해커들이 보안 약점을 알리고 FIA 시스템 강화를 목적으로 했다고 밝히며 이번 주 대중에 공개되었습니다.

왜 중요한가:

포뮬러 1과 같은 세계적인 스포츠에서 운동선수 개인 정보의 무결성은 무엇보다 중요합니다. 이번 사건은 비록 신속하게 해결되었고 악의적인 목적은 아니었지만, 주요 스포츠 단체들이 직면한 지속적인 사이버 위협을 강조하며, 유명 인사들을 보호하기 위한 강력한 디지털 보안의 중요성을 부각합니다.

세부 내용:

• 침해 사건: 윤리적 해커 3명 — 갈 나글리, 샘 커리, 이안 캐럴 — 은 올여름 FIA 드라이버 분류(골드, 실버, 브론즈) 포털에 성공적으로 접근했습니다.
• 동기: F1 팬인 이 해커들은 시스템 약점을 폭로하고 악의적인 의도 없이 '전체 생태계'의 보안을 강화하는 것이 주된 목표였다고 밝혔습니다.
• 대상 시스템: 이 취약점은 FIA의 드라이버 분류 관리 포털에서 발견되었으며, 이는 여러 레이싱 시리즈, 특히 내구 레이스에 필수적입니다.
• 발생 경위: 해커들은 프로필을 생성한 후, 자바스크립트 취약점과 HTTP PUT 요청을 이용해 관리자 권한으로 접근 권한을 상승시켜 FIA 내부 대시보드에 침입했습니다.
• 접근 데이터: 관리자 권한 획득 후, 패스워드 해시, 이메일 주소, 전화번호, 여권 정보, 그리고 FIA와 드라이버 간의 분류 관련 내부 서신을 볼 수 있었습니다.
• 베르스타펜 데이터: 모든 F1 드라이버, 막스 베르스타펜을 포함한 명단이 시스템에 있었으며 그의 여권 정보에 접근 가능했음을 확인했습니다. 해커들은 이 시점에서 테스트를 중단했으며 민감한 정보 전체를 접근하지 않았다고 명확히 밝혔습니다.

FIA의 대응:

• 즉각 조치: 해커들은 6월 3일에 FIA에 통보했습니다. FIA는 당일 사이트를 오프라인으로 전환하며 신속하게 대응했습니다.
• 해결: 해커들과 협력하여 FIA는 6월 10일까지 영구적인 수정을 완료했습니다.
• 공식 성명: FIA 대변인은 Motorsport.com과의 인터뷰에서 데이터 보안을 위한 즉각적인 조치가 취해졌고, 관련 데이터 보호 당국에 통보했으며, 영향을 받은 소수의 드라이버들에게도 알렸다고 확인했습니다.
• 보안 약속: FIA는 사이버 보안 및 복원력 조치에 상당한 투자를 해왔으며, 모든 신규 디지털 이니셔티브에 '설계 기반 보안' 정책을 적용하고 있다고 강조했습니다.

향후 전망:

이번에 발생한 사건은 비록 통제되었지만, 모든 주요 스포츠 단체들이 디지털 보안 프로토콜을 지속적으로 검토하고 강화해야 할 강력한 경고로 작용합니다. 윤리적 해커와 FIA 간의 협력을 통해 취약점이 해결된 것은 긍정적인 결과이며, 업계 전반의 사이버 보안 프레임워크를 강화하는 데 있어 책임감 있는 공개의 가치를 보여줍니다.