TSA와 항공사 보안의
위험한 연결고리
최근 보안 연구자들이
TSA의 항공사 승무원
검증 시스템에서
심각한 취약점을 발견했어요. 이들은
기본적인 SQL 인젝션
지식을 활용해
가짜 조종사를
항공사 명단에 추가할 수 있었습니다.😱
취약점 발견
연구자 이안 캐롤과
샘 커리는
FlyCASS라는 외부 벤더의
웹사이트를 조사하던 중
이 취약점을 발견했어요. 이 벤더는
소형 항공사들이
TSA의 KCM 시스템에
접근할 수 있도록 돕고 있죠.
그들은 사용자 이름란에
간단한 작은따옴표를 입력했더니
MySQL 오류가 발생했어요.
이건 심각한 신호였죠.
SQL 인젝션
실제로 이들은
SQL 인젝션을 발견하고
sqlmap을 이용해
문제를 확인했어요. 그들은
특정한 사용자 이름과
비밀번호를 입력해
FlyCASS의 관리자 계정에
로그인할 수 있었습니다!
보안의 허점을
그들이 내부에 들어가자,
추가적인 인증 절차 없이
어떤 항공사든지
승무원 기록과 사진을
추가할 수 있었죠.
이런 식으로
가짜 직원 번호를
제시하면 KCM 보안
검문소를 통과할 수 있었던 겁니다.⚠️
TSA의 반응
하지만 TSA의 대변인
R. 카터 랭스턴은
이러한 주장을 부인했어요.
그는 TSA가
이 데이터베이스에만
의존하지 않으며,
“확인된 승무원만이
공항의 보안 구역에
접근할 수 있다”고
강조했습니다.🤔
이 사건은
보안 시스템의
중요성을 다시 한번
상기시켜주고 있어요.
