연구원 주장: Frontier Airlines 사이트, 탑승권만 슬쩍 봐도 모든 개인정보 유출 — 예약 번호와 성만으로 주소, 여권, TSA

Bob은 해커입니다. 불과 3개월 전, 이들은 Frontier Airlines의 API와 웹사이트에서 심각한 취약점을 발견했습니다. 이 취약점을 이용하면 항공편의 탑승권 코드만 가진 누구라도 집 주소, 거의 모든 신용카드 정보, 전체 여권 상세 정보, 심지어 TSA PreCheck 코드 등을 포함하되 이에 국한되지 않는 모든 승객의 개인정보를 조회할 수 있습니다. 탑승권 코드(PNR이라 불림)는 탑승권 자체에 적혀 있거나 바코드를 통해 스캔할 수 있습니다. 또한, 이 코드는 단 6자리뿐이라 반복적으로 대입(loop through)하기 쉬우며, Bob은 이를 재현하여 여러 승객의 전체 정보를 찾아냈습니다.

Bob은 Frontier 측에 이 문제를 알렸으나, 회사는 이를 해결하기 위해 거의 아무런 조치도 취하지 않았습니다. 현재 앞서 언급한 정보를 얻으려면 탑승권에 인쇄된 승객의 성(last name)이 추가로 필요하게 되었습니다. 그래서 그들은 Frontier 웹사이트의 여러 취약점을 상세히 설명하는 글을 블로그에 게시했습니다.

이 보안 취약점은 매우 단순합니다. 누군가의 탑승권을 살짝 보고 번호와 그 사람의 성을 기록하거나, 관련 바코드를 스캔하기만 하면 됩니다. 스마트폰만 있으면 이 중 어떤 것이든 아주 간단합니다. 그런 다음 해당 정보를 Frontier의 모바일 API 엔드포인트 중 하나에 입력하면, 짠, 모든 승객의 집 주소, 이메일, 전화번호, 전체 생년월일, 전체 여권 데이터, CVV와 중간 5자리를 제외한 거의 모든 신용카드 정보, 결제 내역, TSA PreCheck 코드 등을 포함한 응답을 받게 됩니다.

이 모든 정보는 신원 도용, 스토킹 또는 기타 수많은 악의적인 범죄 활동에 사용될 수 있습니다. 특히 TSA PreCheck 코드(Known Traveler Number)는 신원 도용범이 보안 검사를 통과할 가능성을 열어주기 때문에 항공사 입장에서 매우 우려스러운 부분입니다. 신용카드 번호의 경우, 카드 소유자의 이름 및 만료일과 함께 앞 6자리와 뒤 4자리가 노출되기 때문에 중간 5자리를 추측하기가 매우 쉬우며, 이 경우 카드 뒷면의 CVV 코드가 유일하게 버티고 있는 보안 기능이 됩니다.

하지만 이것이 끝이 아닙니다. Bob이 발견한 바에 따르면, Frontier 웹사이트의 예약 관리 페이지(마찬가지로 예약 번호와 성만으로 접근 가능) 역시 소스 코드 및/또는 API 요청을 통해 개인정보를 동일하게 노출하고 있습니다. 표준 보안 관행(Standard security practices)에 따르면, 이와 같이 쉽게 접근 가능한 페이지는 데이터 최소화(Data minimization) 원칙을 사용하여, 절대적으로 필요한 시점까지 최소한의 정보만을 가져오고 표시해야 합니다.

Bob은 "내 예약 관리 (Manage My Booking)" 페이지의 소스 코드에 이름, 이메일, 전화번호가 명확히 표시되어 있는 것을 발견했으며, "승객 / 수정 (Passengers / Edit)" 페이지에서는 각 개인의 성함, 국가, 생년월일, 전체 여권 정보, 그리고 TSA PreCheck 번호가 다시 한번 드러난다는 사실을 확인했습니다. 아이러니하게도 Frontier는 전자의 문제에 대해 수정을 시도했으나, 수정된 버전이 원래보다 더 많은 정보를 노출하는 결과를 초래했습니다. 이 페이지들은 표시 목적상 데이터를 가려두기는 하지만, 소스 코드와 API 호출(API calls)에는 그대로 남아 있습니다.

해당 보안 전문가는 표준적인 90일 공개 절차를 따르기 위해 3월 3일에 Frontier 측에 처음 연락을 취했고, 3월 9일에 후속 조치를 진행했습니다. 회사는 한 가지 취약점을 수정했으며, 그 대가로 Bob에게 모형 비행기를 보내주었습니다. Bob은 추가적인 데이터 노출 문제에 대해 후속 조치를 취하며 회사 측과 "보상 논의 (compensation discussion)"를 시작했습니다. Frontier는 적절한 대응에 대해 태도를 번복한 것으로 보입니다. 현재 Bob은 Frontier의 심각한 취약점들이 여전히 살아있으며, Frontier의 승객들은 "더 나은 대우를 받을 자격이 있다"고 말합니다.

Tom's Hardware의 최신 뉴스 및 심층 리뷰를 이메일로 직접 받아보세요.

Tom's Hardware를 Google 뉴스에서 팔로우하거나, 즐겨찾는 소스로 추가하여 피드에서 최신 뉴스, 분석 및 리뷰를 받아보세요.

Bruno Ferreira는 Tom's Hardware의 기고가입니다. 그는 개발자로서의 경력과 더불어 PC 하드웨어 및 각종 잡화 분야에서 수십 년의 경험을 보유하고 있습니다. 그는 세부 사항에 집착하는 경향이 있으며, 자신이 좋아하는 주제에 대해 길게 늘어놓는 습성이 있습니다. 그렇지 않을 때는 주로 게임을 즐기거나 라이브 음악 공연 및 페스티벌에 참여하곤 합니다.