FIFA 월드컵, ID 하나로 모든 스트림 통제 가능했던 충격적 보안 사고

본문에서는 클라이언트 측 권한 검증(Client-Side Authorization)만으로 시스템을 운영한 FIFA의 아키텍처적 실수를 지적합니다. Angular 애플리케이션은 JWT 토큰에서 역할(Role)을 확인하여 접근을 차단하는 것처럼 보였으나, 실제 백엔드 API는 이러한 검증 없이 모든 요청을 처리했습니다. 이는 인증(Authentication)과 인가(Authorization) 로직이 분리되지 않은 전형적인 보안 설계 오류로, 모든 내부 플랫폼에 영향을 미쳤다고 설명합니다.

가장 충격적인 부분은 월드컵 생중계 스트림 제어 권한(Live Stream Control)이 노출되었다는 점입니다. 발견자는 RTMP ingest URL과 stream key를 통해 모든 카메라 각도의 실시간 스트림을 확인하고, 심지어 스트림 시작/중지 제어(Start/Stop Control)까지 가능했음을 밝혔습니다. 이는 이론적으로 전 세계 시청자에게 임의의 영상(예: Rickroll, Subway Surfers)을 송출할 수 있었던 심각한 보안 위협으로 이어질 수 있었다고 분석합니다.

보안 취약점 발견 후, 저자는 FIFA의 공식적인 버그 바운티 프로그램이나 보안 연락 채널 부재로 인해 CISA, FBI 등 정부 기관에 연락해야 했던 경험을 공유합니다. MediaKind와 같은 기술 파트너를 통해 간신히 보고가 전달되었으나, FIFA 측의 어떠한 응답이나 감사 표시도 없었다는 점은 큰 비판을 받습니다. 커뮤니티에서는 이러한 거대 조직의 기본적인 보안 체계 미비와 소통 부재를 문제 삼고 있습니다.

스트리밍 관리 패널 외에도, 축구 데이터 플랫폼(Football Data Platform, fdp.fifa.org) 및 해설 정보 시스템(Commentator Information System, cis.fifa.org) 등 다수의 내부 시스템에 대한 접근 권한이 없었음에도 불구하고 가능했습니다. 심지어 쓰기 작업(Write Operations)까지 가능하여 경기 기록, 선수 라인업 등의 데이터를 수정할 수 있었으며, Azure Blob Storage에 저장된 내부 파일까지 열람 가능했던 점은 심각한 정보 유출 위험을 시사합니다.