취약점 신고, 돌아온 건 법적 위협?

게시글에 따르면, 취약점은 증가하는 숫자 ID(Incrementing Numeric User IDs)와 고정된 기본 비밀번호(Static Default Password)의 조합으로 발생했다. 이는 사용자의 개인 정보에 대한 무단 접근을 가능하게 하는 심각한 문제였다. 특히, 계정 잠금(Account Lockout)이나 다단계 인증(MFA)과 같은 보안 조치가 부재하여, 공격자는 손쉽게 다수의 계정에 접근할 수 있었다. 이러한 취약점은 GDPR 규정(GDPR Compliance) 위반으로 이어질 수 있으며, 특히 미성년자의 개인 정보가 노출될 경우 그 심각성은 더욱 커진다.

저자는 취약점을 발견하고 책임감 있게 공개했음에도 불구하고, 기업은 법적 대응(Legal Action)으로 대응했다. 기업은 저자에게 기밀 유지 계약(NDA)을 강요하며, 취약점 공개 자체를 막으려 했다. 이는 기업이 데이터 보호(Data Protection)보다 평판 관리(Reputation Management)에 더 큰 가치를 두고 있음을 시사한다. 또한, 저자의 CSIRT Malta 보고를 문제 삼는 등, 보안 연구자에 대한 적대적인 태도(Hostile Attitude)를 보였다.

커뮤니티에서는 기업의 대응에 대한 비판과 함께, 화이트 해커(White Hat Hacker) 보호의 필요성을 강조했다. 댓글에서는 취약점 공개를 어렵게 만들 경우, 범죄자(Criminals)를 통해서만 취약점을 발견하게 될 것이라는 우려가 제기되었다. 또한, 보안 연구자를 위한 법적 보호(Legal Protection)와 취약점 공개 중개자(Vulnerability Disclosure Intermediary)의 필요성이 제기되었다. 이는 기업의 소극적인 태도가 보안 생태계에 미치는 부정적인 영향을 보여준다.

저자는 CSIRT Malta에 먼저 보고하는 등, 책임 있는 공개 절차(Responsible Disclosure)를 따랐다. 하지만 기업은 이러한 노력에도 불구하고, 저자를 잠재적인 범죄자로 취급했다. 게시글은 기업이 CVD 정책(Coordinated Vulnerability Disclosure Policy)을 갖추고, 보안 연구자에게 감사를 표하며, 피해자에게 알림(Notification to Affected Users)을 제공하는 등, 올바른 대응을 할 것을 촉구한다. 이는 보안 취약점 발견 시, 기업과 연구자 간의 신뢰 구축(Trust Building)의 중요성을 강조한다.