보안 저널.
당사는 발견 사항을 수정하고 검증한 후에 게시합니다 — 익스플로잇 방법이 아니라 간략한 요약을 게시합니다. 각 항목 옆에 수정 소요 시간이 표시됩니다.
무슨 일이 있었나.
프로그램 출시 전 내부 검토
2026년 7월 15일, 저희는 CreateYourVPN의 내부 보안 검토를 시작했습니다. 완료하고 재검증한 수정 사항은 아래에 게시합니다. 앞으로도 배포되고 확인되는 대로 계속 추가하겠습니다.
— CreateYourVPN 팀안전하지 않은 cross-origin 구성에 대한 가드레일 추가
현재 production 구성은 임의의 오리진을 허용하지 않았지만, 운영자가 잘못 구성할 경우 코드가 위험한 매개변수 조합을 허용했습니다. 이제 그 조합은 시작 시 거부되며 자동화된 테스트로 커버됩니다.
— CreateYourVPN 팀production API의 공개 표면 축소
API의 대화형 기술 문서가 인증 없이 접근 가능했습니다. 이는 보호된 데이터에 대한 접근을 제공하지는 않았지만, API의 내부 구조를 살펴보기 쉽게 만들었습니다. production에서는 이제 이 문서를 비활성화했으며, 개발용으로는 격리된 환경에서 계속 이용할 수 있습니다.
— CreateYourVPN 팀플랫폼 암호 키를 용도별로 분리
내부 검토에서 하나의 비밀 값이 두 가지 서로 다른 암호 작업에 사용되고 있음을 발견했습니다. 이것이 직접적인 우회를 만들지는 않았지만, 키가 침해될 경우의 영향 범위를 넓혔습니다. 두 용도를 분리했으며, 이제 각각 독립적으로 순환됩니다.
— CreateYourVPN 팀서버 삭제 후 관리 키의 삭제 보장
암호화된 관리 키의 삭제는 백그라운드 네트워크 작업 이후에 실행되었고, 그 작업이 실패하면 재시도되지 않을 수 있었습니다. 저희는 키 삭제를 네트워크 캐스케이드에서 분리하고 보장된 재시도를 추가했습니다. 도달 불가능한 서버와 프로세스 중단 시나리오는 테스트로 커버됩니다.
— CreateYourVPN 팀사용되지 않던 파트너 API 인가 경로 제거
API는 현재 server-side 아키텍처에 필요하지 않은, cookie 기반의 추가 인가 경로를 지원했습니다. production에서 크로스 사이트 공격은 발견되지 않았지만, 그 추가 경로는 향후 실수의 표면을 넓혔습니다. 이제 API는 명시적으로 정의된 단일 인가 방식을 사용하며, 네거티브 테스트로 커버됩니다.
— CreateYourVPN 팀여기에 들어가는 것.
요약과 타임라인
발견의 요지, 취약점 분류, 제보 날짜와 수정 날짜. 발견이 SR 주장을 반박했다면 — 리포트에 대한 공개 정정.
익스플로잇 방법
단계별 안내, PoC 코드, 그리고 모두가 업데이트하기 전에 다른 서버를 공격하는 데 도움이 될 세부 정보.
무언가 찾으셨나요?
재현 가능한 개념 증명(PoC)을 담아 알려 주세요. 72시간 이내에 응답하며, 분류(triage)는 내부에서 처리합니다.