한 보안 연구원이 2026년 FIFA 월드컵의 라이브 중계 시스템에 심각한 보안 취약점이 있음을 발견했습니다. FIFA 에이전트 플랫폼(FIFA Agent Platform)에 일반인으로 가입하는 것만으로, 월드컵 중계의 핵심 관리 패널에 접근할 수 있었던 것입니다. 이 취약점은 모든 경기 스트리밍을 제어하고 심지어 다른 영상으로 대체할 수도 있는 수준이었습니다.
문제는 FIFA가 마이크로소프트 엔트라(Microsoft Entra, 구 Azure AD) 테넌트를 통해 에이전트 플랫폼과 내부 시스템을 통합 관리하면서 발생했습니다. 연구원이 에이전트 플랫폼에 가입하자, 그의 계정은 FIFA의 내부 플랫폼에 접근할 수 있는 동일한 엔트라 테넌트에 추가되었습니다. FIFA의 축구 데이터 플랫폼(Football Data Platform)은 클라이언트(브라우저)에서만 사용자에게 역할이 없음을 확인하고 '접근 거부' 메시지를 표시했지만, 실제 백엔드 API는 어떠한 권한 검사도 하지 않아 'NO_ROLES' 계정으로도 모든 API에 접근할 수 있었습니다. 이를 통해 연구원은 2026년 월드컵의 모든 경기 스트리밍을 제어할 수 있는 관리 패널에 도달했으며, 각 경기의 RTMP 수집 URL(ingest URL)과 스트림 키(stream key)까지 확보했습니다. 심지어 VLC 플레이어로 라이브 중계 피드를 직접 확인할 수 있었습니다.
이 취약점은 단순히 정보를 열람하는 수준을 넘어섰습니다. 연구원은 관리 패널에서 스트리밍 시작, 중지, 예약 등 모든 제어 기능을 사용할 수 있었고, RTMP 수집 URL을 통해 경기장 카메라에서 오는 영상 피드를 다른 영상으로 대체할 수도 있었습니다. 이는 전 세계 TV 네트워크로 송출되는 월드컵 중계 화면을 '릭롤(Rickroll)' 영상이나 다른 콘텐츠로 바꿀 수 있었다는 의미입니다. FIFA는 연구원의 여러 차례 연락 시도에도 응답하지 않다가, 결국 CISA와 FBI의 개입 후에야 문제를 해결했습니다. 이 사건은 대규모 글로벌 이벤트의 핵심 인프라가 얼마나 취약할 수 있는지, 그리고 클라이언트 측 보안 검사만으로는 충분하지 않다는 것을 여실히 보여줍니다.