항공 예약 시스템 해킹, 개인 정보 유출 위험 경고!
by DD
5개월 전
조회수 6
미국 항공사의 PNR 시스템 취약점을 이용한 개인 정보 접근 가능성이 제기됨
Avelo 항공은 보안 연구원의 제보에 신속히 대응했지만, 무상 제보에 대한 불만이 제기됨
커뮤니티에서는 인증 부재, 레이트 리미팅 미흡 등 기본적인 보안 조치의 중요성을 강조함
PNR 시스템 취약점 분석
해당 시스템은 PNR 코드만으로 예약 정보에 접근할 수 있는 취약점을 가지고 있었다. 구체적으로, 성(Last Name) 정보 없이도 예약 정보를 조회할 수 있어 무차별 대입 공격(Brute Force)에 취약하다. 따라서, 인증 절차 부재는 잠재적인 개인 정보 유출 위험을 증폭시키는 주요 원인으로 지적된다.
보안 대응 및 커뮤니티 비판
Avelo 항공은 문제 제기 후 신속하게 대응했지만, 무상 제보에 대한 불만이 제기되었다. 반면, 보안 연구원의 기여에 대한 보상 부재는 책임감 있는 정보 공개를 저해할 수 있다는 비판이 존재한다. 결과적으로, 취약점 신고 제도 개선 및 보상 체계 마련의 필요성이 강조된다.
실질적인 보안 강화 방안
공개된 엔드포인트에는 레이트 리미팅(Rate Limiting) 적용이 필수적이다. 구체적으로, 인증(Authentication)을 통해 자원 소모적인 요청에 대한 접근을 통제해야 한다. 따라서, 다단계 인증 및 이상 징후 감지 시스템 구축을 통해 무단 접근 시도를 효과적으로 차단하고, 개인 정보 보호를 강화해야 한다.
