FIA 버그를 통해 맥스 베르스타펜의 여권과 개인 식별 정보를 접근한 사례

• 보안 연구자들이 FIA의 드라이버 분류 웹사이트 취약점을 통해 F1 드라이버들의 민감한 정보를 접근할 수 있었음을 발견
• 해당 시스템은 FIA Super Licence와 별도로 운영되며, 드라이버가 자신의 등급(브론즈/실버/골드/플래티넘)을 신청하거나 갱신할 수 있는 포털임
• 연구자들은 HTTP PUT 요청의 매스 어사인먼트(mass assignment) 취약점을 이용해 관리자 권한을 획득하고, 내부 대시보드에 접근함
• 이를 통해 여권, 이메일, 전화번호, 비밀번호 해시, 이력서 등 PII를 포함한 모든 드라이버의 데이터를 열람할 수 있었음
• 이번 사례는 스포츠 산업의 디지털화와 함께 보안 관리의 중요성이 커지고 있음을 보여주는 대표적 사건임

배경: F1과 사이버보안의 교차점

• 최근 몇 년간 보안 스타트업과 벤처캐피털 투자 증가로 인해, 주요 네트워킹 이벤트가 F1 그랑프리 중심으로 열리는 추세
  • CrowdStrike, Darktrace 등은 팀 스폰서로 수백만 달러를 투자
  • Bitdefender는 공식 사이버보안 파트너십을 체결해 레이싱팀의 보안을 담당
• 연구자 Gal Nagli, Sam Curry, Ian Carroll은 이러한 행사에 참석하며, F1 관련 지원 웹사이트의 보안 취약점 탐색을 시도
• 본 블로그는 3부작 중 첫 번째로, F1 관련 시스템에서 발견된 첫 번째 취약점을 다룸

FIA 드라이버 분류 시스템 개요

• F1 드라이버는 FIA Super Licence를 보유해야 하며, 이는 각국의 모터스포츠 협회(ASN)를 통해 매년 발급
  • 일정한 포인트, 나이, 의학 및 필기시험 요건을 충족해야 함
• FIA는 별도로 Driver Categorisation 시스템(drivercategorisation.fia.com) 을 운영해 드라이버의 등급(브론즈~플래티넘)을 관리
  • 이 포털은 공개 자가 등록을 지원하며, 참가자는 자신의 등급 신청서와 신분증, 경력 이력서 등을 업로드해야 함
  • Super Licence 보유자는 자동으로 플래티넘 등급을 부여받음

취약점 발견 과정

• 연구자들은 계정을 생성한 뒤, 프로필을 수정하는 HTTP PUT 요청을 관찰
  • 요청 자체는 단순했지만, 응답 JSON에는 roles, birthDate, status 등 추가 필드가 포함되어 있었음
• JavaScript 코드를 분석한 결과, 사이트에는 드라이버, FIA 직원, 관리자(admin) 등 여러 역할이 존재함을 확인
• 연구자들은 roles 필드가 서버 검증 없이 업데이트될 수 있는지 실험하기 위해, 관리자 역할을 포함한 PUT 요청을 전송

관리자 권한 획득

• 요청 예시는 다음과 같음
  • "roles": [{"id": 1, "description": "ADMIN role", "name": "ADMIN"}]
• 서버는 이를 정상적으로 처리했고, 응답 JSON에서 ADMIN 역할이 부여된 상태로 반환됨
• 재인증 후 로그인하자, FIA 관리자용 대시보드가 표시되었으며, 드라이버 분류, 직원 관리, 이메일 템플릿 수정 등 서버 측 기능 전체 접근이 가능해짐

민감 정보 접근 가능성

• 관리자 권한으로 드라이버 프로필을 열람하자, 다음과 같은 정보가 노출됨
  • 비밀번호 해시, 이메일, 전화번호, 여권 사본, 이력서, 개인 식별 정보(PII)
  • 드라이버 평가 관련 내부 코멘트 및 위원회 결정 기록
• 연구자들은 테스트 중 맥스 베르스타펜의 여권, 라이선스, PII에 접근 가능함을 확인했으나, 실제 열람이나 저장은 하지 않았다고 명시
• 모든 테스트 데이터는 즉시 삭제되었으며, 추가 침투는 중단됨

취약점 공개 및 대응

• 2025년 6월 3일: FIA에 이메일과 LinkedIn을 통해 최초 제보
• 같은 날 FIA는 사이트를 오프라인으로 전환
• 2025년 6월 10일: FIA가 포괄적 수정 완료를 공식 통보
• 2025년 10월 22일: 블로그 게시 및 공개 보고 진행

시사점

• 단순한 매스 어사인먼트 취약점이 고도의 보안 시스템에서도 발생할 수 있음을 보여주는 사례
• 스포츠 산업의 디지털화가 가속화되면서, 개인정보 보호와 접근 제어 강화의 필요성이 커짐
• 특히 FIA와 같은 국제 기관은 API 설계 및 권한 검증 로직에 대한 정기적 보안 점검이 필