@hongminhee洪 民憙 (Hong Minhee) 예전에 잠깐 일했던 핀테크(라기에도 민망한) 회사에서, PG랑 VAN 사이에서 뭔가 하는 모듈을 만들고 그걸로 돈을 벌었거든요. 근데 그 모듈이 보안에도 도움되는게 없고, 또 신용에도 도움이 되는게 없어서 존재 이유가 의문이었습니다. 그러다 퇴사하기 직전엔 거기 취약점까지 있어서 순수하게 악영향만 있는 프로그램이란걸 깨달았습니다.
If you have a fediverse account, you can quote this note from your own instance. Search https://hackers.pub/ap/notes/01972f35-6420-7361-a00f-5fd00cf281e9 on your instance and quote it. (Note that quoting is not supported in Mastodon.)
예전에 게임 회사에서 상점 시스템(게임 머니로 아이템 구입/선물을 처리하는거)을 개발하는 팀에서 일한적이 있다. 그때도 퇴사하기 직전에 취약점을 발견했었는데, 다행히 외부인은 쓸수없고 직원만 쓸수있는 취약점이긴 했다. 상점 시스템이 게임 머니를 관리하는 시스템과, 실제로 아이템을 인벤토리에 넣는 시스템이 분리가 되있어서 생긴 문제였는데, 가령 잡템을 100원에 구입하는척하며 실제론 인벤토리에 전설의 무기가 들어가게끔 할수 있었다. 그러니까 MSA인데 각 서비스가 서로를 100% 신뢰하고 있어서 생긴 문제? 어떤 직원이 마음먹고 그런 짓을 했다면 본격적으로 abnormarly detection을 하지 않는이상 적발하기가 매우 어려웠을 것이다.