보안 저널

보안 저널.

당사는 발견 사항을 수정하고 검증한 후에 게시합니다 — 익스플로잇 방법이 아니라 간략한 요약을 게시합니다. 각 항목 옆에 수정 소요 시간이 표시됩니다.

항목

무슨 일이 있었나.

2026년 7월 15일

프로그램 출시 전 내부 검토

2026년 7월 15일, 저희는 CreateYourVPN의 내부 보안 검토를 시작했습니다. 완료하고 재검증한 수정 사항은 아래에 게시합니다. 앞으로도 배포되고 확인되는 대로 계속 추가하겠습니다.

CreateYourVPN 팀
2026년 7월 15일

안전하지 않은 cross-origin 구성에 대한 가드레일 추가

현재 production 구성은 임의의 오리진을 허용하지 않았지만, 운영자가 잘못 구성할 경우 코드가 위험한 매개변수 조합을 허용했습니다. 이제 그 조합은 시작 시 거부되며 자동화된 테스트로 커버됩니다.

CreateYourVPN 팀
2026년 7월 15일

production API의 공개 표면 축소

API의 대화형 기술 문서가 인증 없이 접근 가능했습니다. 이는 보호된 데이터에 대한 접근을 제공하지는 않았지만, API의 내부 구조를 살펴보기 쉽게 만들었습니다. production에서는 이제 이 문서를 비활성화했으며, 개발용으로는 격리된 환경에서 계속 이용할 수 있습니다.

CreateYourVPN 팀
2026년 7월 15일

플랫폼 암호 키를 용도별로 분리

내부 검토에서 하나의 비밀 값이 두 가지 서로 다른 암호 작업에 사용되고 있음을 발견했습니다. 이것이 직접적인 우회를 만들지는 않았지만, 키가 침해될 경우의 영향 범위를 넓혔습니다. 두 용도를 분리했으며, 이제 각각 독립적으로 순환됩니다.

CreateYourVPN 팀
2026년 7월 15일

서버 삭제 후 관리 키의 삭제 보장

암호화된 관리 키의 삭제는 백그라운드 네트워크 작업 이후에 실행되었고, 그 작업이 실패하면 재시도되지 않을 수 있었습니다. 저희는 키 삭제를 네트워크 캐스케이드에서 분리하고 보장된 재시도를 추가했습니다. 도달 불가능한 서버와 프로세스 중단 시나리오는 테스트로 커버됩니다.

CreateYourVPN 팀
2026년 7월 15일

사용되지 않던 파트너 API 인가 경로 제거

API는 현재 server-side 아키텍처에 필요하지 않은, cookie 기반의 추가 인가 경로를 지원했습니다. production에서 크로스 사이트 공격은 발견되지 않았지만, 그 추가 경로는 향후 실수의 표면을 넓혔습니다. 이제 API는 명시적으로 정의된 단일 인가 방식을 사용하며, 네거티브 테스트로 커버됩니다.

CreateYourVPN 팀
저널 읽는 법

여기에 들어가는 것.

공개하는 것

요약과 타임라인

발견의 요지, 취약점 분류, 제보 날짜와 수정 날짜. 발견이 SR 주장을 반박했다면 — 리포트에 대한 공개 정정.

공개하지 않는 것

익스플로잇 방법

단계별 안내, PoC 코드, 그리고 모두가 업데이트하기 전에 다른 서버를 공격하는 데 도움이 될 세부 정보.

무언가 찾으셨나요?

재현 가능한 개념 증명(PoC)을 담아 알려 주세요. 72시간 이내에 응답하며, 분류(triage)는 내부에서 처리합니다.

security@createyourvpn.com/.well-known/security.txt · 90일간 비공개 · 세이프 하버