Claude가 미국 뮤직페스티벌 거의 모든 곳의 티켓 발급 허점 발견
원제: Claude Helped a Hacker Find a Way to Issue Tickets to Almost Every US Music Festival
왜 중요한가
AI 모델이 실제 웹 인프라의 보안 결함을 발견할 수 있음을 시사하며, AI 보안 검증과 산업 전반의 취약점 패치의 시급성을 강조하는 사례다.
보안 연구원 Ian Carroll이 Anthropic의 Claude Opus 4.7을 이용해 Lollapalooza, Bonnaroo 등 미국 주요 뮤직페스티벌의 티켓 시스템을 제공하는 Front Gate Tickets의 보안 결함을 발견했다. Carroll은 AI의 도움으로 관리자 접근권을 획득해 원하는 모든 티켓을 무료로 발급할 수 있었으나, 책임감 있게 Front Gate에 보고해 24시간 내 패치됐다.
보안 연구원 Ian Carroll은 2024년 4월 Anthropic의 Claude Opus 4.7을 사용하여 Front Gate Tickets의 웹사이트에 존재하는 보안 결함을 발견했다. Front Gate는 Live Nation Entertainment의 자회사로, Lollapalooza, South by Southwest, Austin City Limits 등 거의 모든 미국 주요 뮤직페스티벌의 티켓팅을 담당한다.
Carroll의 발견에 따르면, 이 결함을 통해 공격자는 수백만 고객 및 직원 기록에 접근하고, 어떤 행사의 어떤 가격대의 티켓이든 자유롭게 발급할 수 있었다. Carroll은 4,000달러짜리 Bonnaroo 4일권 VIP 백스테이지 패스도 자신의 쇼핑카트에 추가할 수 있었다. Seats.aero라는 스타트업을 운영하는 Carroll은 이러한 권한을 실제로 악용하지 않았으며, 대신 자신의 발견을 Front Gate에 보고했다.
Front Gate는 WIRED와의 인터뷰에서 Carroll의 책임감 있는 보고에 감사를 표했으며, "24시간 내에 해결되었으며 악용, 티켓 영향, 고객 정보 침해의 증거가 없다"고 밝혔다. 회사는 또한 이 문제가 표준 방화벽 보안을 우회하고 페스티벌 입장 스캐너가 사용하는 내부 API에 접근한 것이라 설명했다.
Carroll은 Anthropic의 Cyber Verification Program 참여자로, "Claude가 기술의 핵심 요소들을 매우 쉽게 제시했으며, AI가 내 개입 없이도 전체 익스플로잇을 발견했을 가능성이 높다"고 지적했다. Anthropic은 고급 AI 도구를 보안 연구에 활용하기 위해 Cyber Verification Program을 설립했다고 밝혔다.