암호화폐 거래소 — 외부 보안 자세 평가

요약

기관 수준의 서비스와 규제를 준수하는 보관 운영을 제공하는 주요 국제 암호화폐 거래소의 수동 탐지만을 통한 외부 보안 노출이 평가되었습니다. 인증, 악용 또는 침투적 테스트는 수행되지 않았습니다.

평가 결과, 분석, 사기 탐지 및 블록체인 인프라 서비스에 사용되는 14개의 제3자 API 키 및 자격 증명이 포함된 공개적으로 접근 가능한 구성 파일이 발견되었습니다. 인증서 투명성 분석을 통해 520개 이상의 서브도메인이 내부 프로젝트 코드네임, 팀 구조, 프리-프로덕션 환경 및 은행 파트너 통합 정보를 노출하고 있음을 확인했습니다. 내부 API 엔드포인트가 외부 요청에 구조화된 오류 메시지로 응답하는 것으로, 해당 엔드포인트의 존재와 운영 상태가 확인되었습니다.

고객사 프로필

산업: 수탁 및 기관 서비스를 제공하는 암호화폐 거래소입니다. 규모: 글로벌 최상위권 플랫폼으로, 다수의 관할권에서 규제를 받고 있습니다. 발생 요인: 지속적인 보안 자세 평가의 일환으로 선제적인 외부 보안 검토를 실시하였습니다.

도전

거래소는 공개 버그 바운티, 강력한 이메일 보안 (DMARC 거부), 적절하게 구성된 HSTS 및 포괄적인 권한 정책을 갖춘 강력한 보안 프로그램을 유지하고 있었습니다. 문제는 다음과 같았습니다: 시스템에 손을 대지 않고도 외부에서 대항세력은 무엇을 볼 수 있을까요?

접근 방법

CHIMERASCOPE의 패시브 인텔리전스 방법론을 활용한 이번 평가는 세 가지 수집 벡터에 집중했습니다:

공개 엔드포인트 분석 — 대상 도메인 포트폴리오 전반에서 HTTP 응답, 헤더 및 공개 서비스 파일을 검토함. 인증서 투명성 상관관계 분석 — SSL 인증서 발급 로그를 분석하여 인프라 토폴로지를 매핑함. DNS 기록 분석 — 공개 DNS에서 서비스 통합 및 검증 기록을 추출함.

주요 발견 사항

인프라 인텔리전스 추출

인증서 투명성 분석만으로도 평가가 매핑되었습니다:

4개의 내부 프로젝트 코드네임이 생산, UAT, 스테이징 환경에서 사용됨. 120개 이상의 사전 생산 서브도메인이 기능별 전용 팀 환경(소비자, 자금, 보안, 무역, 모바일, 마케팅 등 — 각각 번호가 매겨진 인스턴스 포함)을 드러냄. 은행 파트너 통합이 서브도메인 명명 패턴에서 확인됨. KYC 공급업체 관계가 전용 통합 서브도메인을 통해 식별됨. 완전한 환경 토폴로지 — 생산, 스테이징, UAT, 개발 환경이 구조적으로 매핑됨.

긍정적 보안 관찰

이 평가에서는 이미 적용된 강력한 보안 관행도 기록되었습니다: 거부 정책 및 수사 보고가 적용된 DMARC, 서브도메인 전체에 걸쳐 프리로드가 적용된 HSTS, 브라우저 기능 18개를 제한하는 포괄적인 권한 정책, 정확히 구성된 쿠키 보안 속성, PGP 키와 버그 바운티 프로그램이 포함된 잘 유지된 security.txt. 핵심 은행 인프라는 외부 요청에 null 응답을 반환하여 적절한 접근 제어를 나타냈습니다.

결과

발견 사항은 CVSS 점수를 포함한 구조화된 보안 보고서로 정리되어 거래소의 공식 책임 공개 채널을 통해 제출되었습니다. 중요한 구성 노출 사항은 즉시 수정을 위해 우선순위가 지정되어, 노출된 모든 API 키의 자격 증명 회전 및 영향을 받은 엔드포인트에 대한 접근 제한이 시행되었습니다.

방법론 참고 사항

이 평가는 CHIMERASCOPE의 패시브 인텔리전스 방법론을 활용하여 수행되었습니다. 모든 데이터는 다음과 같은 방식으로 수집되었습니다: HTTP 헤더 및 응답 분석, 공개 API를 통한 DNS 기록 열거, 인증서 투명성 로그 분석, 공개 엔드포인트 관찰, 패시브 서비스 지문 분석. 어떤 단계에서도 액티브 스캐닝, 인증 정보 테스트, 브루트포싱, 또는 비인가 접근이 수행되지 않았습니다.