DoD 계약 업체, API 권한 부재로 U.S. 군사 기밀 노출

해당 API는 권한 검증(Authorization Check) 없이 모든 데이터를 노출하여, 일반 계정으로도 다중 테넌트 환경(Multi-tenant Environment) 내의 모든 정보에 접근할 수 있었다. 특히, U.S. 군인 정보와 기밀 훈련 자료가 포함되어 있어, 데이터 유출(Data Breach) 시 심각한 OPSEC(Operational Security) 위험을 초래할 수 있다. 이는 DoD 계약 업체가 준수해야 하는 CMMC(Cybersecurity Maturity Model Certification) 및 DFARS(Defense Federal Acquisition Regulation Supplement) 규정을 위반하는 행위이다.

Strix는 자동화된 AI 해킹 에이전트(Autonomous AI Hacking Agent)로, 애플리케이션을 동적으로 테스트하고 취약점을 검증한다. Strix는 API 엔드포인트(API Endpoint)를 매핑하고, 일반적인 사용자 세션으로 접근 가능한 데이터를 분석하여 권한 부재 취약점을 발견했다. 커뮤니티에서는 AI 기반 펜테스팅 도구의 발전이 기존 펜테스터의 역할을 대체할 수 있다는 의견과 함께, AI 환각(Hallucination)에 대한 우려도 제기되었다.

취약점 발견 후, 연구자들은 5개월 동안 Schemata 측에 문제 해결을 요청했으나, CEO의 무책임한 태도와 늦은 대응으로 인해 공개를 결정했다. 이는 보안 취약점 발견 시 책임감 있는 대응의 중요성을 강조하며, 오픈 소스(Open Source) 보안 연구자들의 법적 안전 보장 및 DoD와의 소통 채널 부재에 대한 문제점을 제기한다. 또한, 데이터 미저장 정책(Zero-Retention Policy)의 부재는 잠재적인 법적 문제로 이어진다.

댓글에서는 스타트업의 보안에 대한 인식 부족과 보안 전문가(Security Expert)의 부재를 지적하며, VCs(Venture Capitals)의 투자에도 불구하고 보안에 대한 투자가 미흡한 현실을 비판한다. 특히, Vercel 및 Supabase와 같은 플랫폼의 확산으로 인해, 개발자들이 클라이언트 측 API 키(Client-side API Keys) 및 데이터 격리 아키텍처(Data Isolation Architecture)를 제대로 구축하지 못하는 경우가 많다는 점을 지적한다. 이는 스타트업의 보안 문화 개선의 필요성을 강조한다.