10억 달러 법률 AI 툴 리버스 엔지니어링으로 기밀 파일 10만 건 노출 발견
Reverse engineering a $1B Legal AI tool exposed 100k+ confidential files
TL;DR Highlight
법률 AI SaaS Filevine의 공개 API 엔드포인트가 인증 없이 Box 관리자 토큰을 반환해 법무법인의 기밀 파일 10만 건 이상에 누구나 접근 가능했던 취약점 발견 및 책임 공개 사례.
Who Should Read
AI SaaS 제품을 개발하거나 도입 중인 백엔드/풀스택 개발자, 특히 외부 스토리지(Box, S3 등)와 연동 시 인증 설계를 맡은 개발자. 법률·금융 등 민감 데이터를 다루는 서비스의 보안 담당자.
Core Mechanics
- 서브도메인 열거(subdomain enumeration) 기법으로 margolis.filevine.com이라는 실 법무법인 연결 환경을 발견했고, 이 환경은 로그인 없이 접근 가능한 상태였다.
- 프론트엔드 JS 파일(난독화된 번들)을 뜯어보니 AWS API Gateway 엔드포인트(execute-api.us-west-2.amazonaws.com/prod/recommend)가 하드코딩돼 있었고, 인증 토큰 없이 임의 JSON payload만으로 호출 가능했다.
- 해당 엔드포인트는 응답으로 Box API의 최고 권한 admin 토큰을 반환했다. Box는 구글 드라이브 같은 기업용 파일 스토리지인데, 이 토큰 하나로 해당 법무법인의 전체 파일 시스템에 읽기·쓰기 접근이 가능했다.
- Box API로 'confidential' 키워드 검색을 했더니 결과가 10만 건에 가깝게 나왔다. 이 시점에서 즉시 테스트를 중단하고 책임 공개(responsible disclosure) 절차를 밟았다.
- 발견(10월 27일) → 업체 확인(11월 4일) → 패치 완료 확인(11월 20일) → 공개(12월 3일) 순으로 진행됐으며, Filevine 측은 공개 블로그 포스팅도 허용했다. 결과적으로 단일 법무법인 비프로덕션 인스턴스에 국한된 문제로 확인됐다.
- 아키텍처 문제의 핵심은 '백엔드가 처리해야 할 고권한 토큰을 프론트엔드(React 앱)에 직접 넘겨준 설계'다. 프론트엔드가 Box에 직접 연결하는 구조 자체가 근본적인 설계 오류였다.
- Filevine은 SOC 2 인증과 공식 침투 테스트(pentest) 프로그램을 운영 중이라고 홍보하고 있었으나, 이런 기초적인 취약점이 내부 검토에서 발견되지 않았다는 점에서 보안 인증의 실효성에 의문이 제기됐다.
Evidence
- 취약점의 심각성을 실감하게 해주는 코멘트가 많았다. '인증 없음 + 암호화 없음(HTTP) + 모든 응답에 토큰 포함 + 전체 admin 접근'이 동시에 발생한 상황을 '뒷문도 열려 있고 창문도 열려 있는데 기밀 서류가 바닥에 널브러진 법무법인'에 비유하는 댓글이 높은 공감을 받았다.
- 한 달 가까운 수정 기간에 대해 '보안@ 이메일을 안 읽나, 휴가 중인가, 스팸에 묻혔나'라는 의문이 제기됐다. 실제 코드 수정은 1시간 이내일 텐데 트리아지(triage, 취약점 심각도 분류 및 우선순위 결정)에 왜 이렇게 오래 걸렸냐는 비판이 있었다.
- AI SaaS 업계 전반의 보안 문화를 지적하는 경험담도 나왔다. 에이전틱 AI 스타트업 여러 곳에서 일한 개발자가 '구조가 잘 잡힌 조직들도 OpenAI/Google/Meta가 내일 같은 걸 출시할까 봐 두려워서 move fast and break things 모드로 돌아가고 있다'고 토로했다.
- SOC 2, HIPAA 등 보안 인증의 한계를 지적하는 댓글이 많았다. 한 엔지니어는 '인증 취득을 위해 수백 장의 스크린샷과 서류를 제출했지만, 정작 중요한 것들은 검토되지 않는다'며 '보안 연극(security theater)'이라고 비판했다.
- 공개 여부를 놓고 의견이 엇갈렸다. '비공개 패치만 하면 회사가 배상 없이 넘어가니 오히려 피해자 없는 사건이 된다'며 책임 공개보다 즉시 공개를 지지하는 의견과, '공개를 막으면 앞으로 기업들이 취약점을 숨기게 된다'며 Filevine이 공개를 허용한 것을 칭찬하는 의견이 대립했다.
How to Apply
- 외부 스토리지(Box, S3, GCS 등)와 연동 시 프론트엔드에 직접 토큰을 전달하지 말 것. 프론트엔드 → 자체 백엔드 API → 스토리지 순으로 요청을 프록시하거나, 단기 서명 URL(presigned URL)을 생성해 제한된 권한만 부여하는 방식을 사용하면 토큰 탈취 피해를 최소화할 수 있다.
- AWS API Gateway, Lambda 등으로 만든 내부 API 엔드포인트도 퍼블릭에서 접근 가능한지 정기적으로 점검할 것. 서브도메인 열거 도구(amass, subfinder 등)로 자사 도메인을 스캔해보면 잊혀진 데모·스테이징 환경을 발견하는 경우가 많다.
- 보안 공개 이메일(security@)을 실제로 모니터링하고 SLA를 정해둘 것. HN 댓글에서 지적됐듯이 초기 응답에 8일이 걸린 건 스팸 필터나 담당자 부재 문제일 가능성이 높다. 자동 응답 + 전용 티켓 시스템으로 접수 누락을 막는 것이 기본이다.
- 법률·금융·의료처럼 민감 데이터를 다루는 AI SaaS를 도입할 때, SOC 2 인증서만 보지 말고 실제 아키텍처 문서(데이터 흐름도, 접근 제어 정책)를 요청할 것. 이 사례처럼 인증과 실제 보안 수준이 다를 수 있다.
Code Example
snippet
// 취약한 패턴: 프론트엔드에서 고권한 토큰을 직접 받아 외부 API 호출
const res = await fetch(`${BOX_SERVICE}/recommend`, {
method: 'POST',
body: JSON.stringify({ projectName: 'Very sensitive Project' })
// Authorization 헤더 없음!
});
const { boxToken } = await res.json(); // admin 토큰이 그대로 내려옴
// 안전한 패턴: 백엔드가 프록시하거나 단기 presigned URL 발급
// 백엔드 (Node.js 예시)
app.get('/api/file/:fileId', authenticate, async (req, res) => {
// 1. 사용자 권한 확인
const hasAccess = await checkPermission(req.user, req.params.fileId);
if (!hasAccess) return res.status(403).json({ error: 'Forbidden' });
// 2. 내부에서만 보관하는 토큰으로 Box API 호출
const boxClient = new BoxClient({ accessToken: process.env.BOX_ADMIN_TOKEN });
const downloadUrl = await boxClient.files.getDownloadURL(req.params.fileId);
// 3. 단기 URL만 전달 (토큰 직접 노출 없음)
res.json({ url: downloadUrl, expiresIn: 60 });
});Terminology
subdomain enumerationexample.com의 하위 도메인(api.example.com, staging.example.com 등)을 자동으로 열거하는 기법. 공개된 DNS 레코드, 인증서 투명성 로그 등을 활용해 회사가 노출한 모든 서비스를 지도처럼 그려낼 수 있다.
Box API admin tokenBox(기업용 클라우드 스토리지)의 최고 관리자 권한 토큰. 이 토큰 하나로 해당 계정의 모든 파일을 읽고 쓰고 삭제할 수 있다. 마스터 열쇠와 동일.
responsible disclosure보안 취약점을 발견했을 때 즉시 공개하지 않고, 먼저 해당 기업에 비공개로 알려 수정할 시간을 준 뒤 공개하는 절차. 악의적 악용을 막기 위한 보안 업계 관행.
SOC 2미국 회계사협회(AICPA)가 만든 클라우드 서비스 보안 인증. 보안, 가용성, 처리 무결성, 기밀성, 개인정보 보호 기준을 감사받는다. 취득하면 '우리 서비스는 안전하다'는 신뢰 지표로 사용되지만, 감사 범위 밖의 취약점은 걸러내지 못한다.
triage접수된 버그나 취약점의 심각도를 평가하고 처리 우선순위를 정하는 과정. 의료 현장의 '중증도 분류'에서 따온 용어.