국내 최대 휴대폰 커뮤니티 '뽐뿌' 해킹은 취약한 홈페이지 관리 때문인 것으로 드러났다.
지난 9월 11일 벌어진 뽐뿌 해킹 사건으로 약 196만명의 회원 개인정보가 유출됐다. 홈페이지는 흔한 해킹 수법인 SQL 인젝션에 의해 쉽게 뚫렸다.
SQL(Structured Query Language) 인젝션은 데이터베이스에 대한 질의 값을 조작해, 정상적인 자료 이외에 해커가 원하는 자료까지 빼돌리는 공격 기법이다.
미래창조과학부는 뽐뿌 홈페이지 침해사고에 대한 민관 합동조사단의 조사 결과를 20일 발표했다.
미래부는 뽐뿌 해킹방법과 사고원인 분석을 위해 미래부 공무원 및 민간 전문가로 구성된 합동조사단을 9월 12일부터 운영했다.
조사단은 뽐뿌에 남아있는 웹 서버 로그 약 10만건과 개인정보 데이터베이스 약 2890만건 등을 바탕으로 해킹 방법과 정보탈취에 악용된 보악 취약점을 확인했다.
미래부에 따르면 해킹은 ▲뽐뿌 홈페이지 구조 및 취약점을 파악하고 ▲SQL 인젝션에 취약한 웹 페이지를 확인한 후 ▲SQL 인젝션을 통해 뽐뿌 회원 정보를 탈취하는 3단계로 진행했다.
뽐뿌 홈페이지에는 비정상적 데이터베이스 질의에 대한 검증절차가 없어 SQL 인젝션 공격에 취약한 웹페이지가 존재했다. 개인정보를 저장하는 서버도 해킹 노출에 취약한 상태였다.
해당 웹페이지는 숫자만 입력받도록 되어 있었으나 정상적인 숫자 외에 개인정보(ID, 생년월일, 이메일 등)를 질의하는 SQL구문 삽입·실행이 가능했다.
해커가 의도하는 대로 웹페이지 설정을 조작해 개인정보를 빼돌릴 수 있던 것이다.
미래부와 방통위는 뽐뿌 운영진에게 회원정보 유출여부를 확인하고, 해당 피해사실과 조치 방법 등을 이용자에게 통지하도록 했다.
방통위는 뽐뿌의 개인정보 보호조치 위반 관련사항에 대해 '정보통신망 이용 촉진 및 정보보호에 관한법률'에 따라 조치할 예정이다.
미래부는 유사피해를 방지하기 위해 기타 커뮤니티 업체에 취약점을 점검하고 보안조치를 마련하도록 요청했다.
한편 뽐뿌는 2005년 11월 16일 쇼핑 정보를 공유하는 커뮤니티로 시작했으며 2000년대 후반 스마트폰 대중화와 함께 IT제품 거래 커뮤니티로 급성장했다.
뽐뿌란 명칭은 영어단어 '펌프'(pump)의 속어로 디지털 카메라를 비롯한 전자기기 동호회에서 최신 제품을 사고 싶도록 이끄는 행위를 의미한다.
뽐뿌는 휴대폰 대리점 판촉, IT 액세서리 이벤트, 전자제품 공동 구매, 단말기 가격비교 서비스 등으로 유명하다.
IT 거래 외에 보험 상품 판매와 자동차 매매, 웨딩 상담, 법률 자문으로도 영역을 넓히며 회원을 200만명 가까이 확보했다. 이용자가 상품 구매 문의글을 올리면 판매자가 직접 답변을 달아주는 방식이 인기를 끌었다.
하지만 이번 해킹 사건과 미숙한 대응으로 뽐뿌는 서비스 10년만에 가장 큰 위기를 맞게 됐다.
