"뽐뿌 해킹사고는 웹 취약점 악용한 DB 공격 때문"

미래창조과학부는 지난달 11일 발생한 온라인 커뮤니티 '뽐뿌 커뮤니케이션'에 대한 해킹 사고를 조사한 결과 웹 취약점을 악용한 데이터 베이스 공격으로 정보 유출이 발생한 것으로 나타났다고 밝혔습니다.

미래부 공무원과 민간 전문가로 민관 합동조사단을 꾸려 침해사고의 원인을 조사·분석한 결과 해커는 3단계에 걸쳐 홈페이지의 구조·취약점을 파악한 뒤 'SQL 인젝션'을 통해 회원 약 196만명의 개인정보를 탈취한 것으로 조사됐습니다.

SQL 인젝션이란 DB에 대한 질의값을 조작해 정상적인 자료 외에 해커가 원하는 자료까지 DB로부터 유출해가는 사이버 공격 기법입니다.

미래부는 뽐뿌 홈페이지에 비정상적인 DB 질의에 대한 검증 절차가 없어 SQL 인젝션 공격에 취약한 웹페이지가 존재했고 개인정보 DB 서버 중 일부 서버에서만 로그를 저장하고 있었다고 설명했습니다.

미래부 관계자는 "공격당한 웹페이지는 당초 숫자만을 질의할 수 있도록 돼 있었는데 숫자 외에 ID, 생년월일, 이메일 주소 같은 개인정보를 질의하는 SQL 구문을 삽입해 실행할 수 있는 취약점이 있는 것으로 파악됐다"고 말했습니다.

조사단은 뽐뿌에 남아 있는 약 10만건의 웹 서버 로그와 약 2천890만건의 개인정보 DB 로그 등을 분석해 이같은 해킹 방법과 보안 취약점 등을 확인했습니다.

조사단은 이에 앞서 추가 해킹 피해를 방지하기 위해 뽐뿌 홈페이지에 대한 취약점 점검, 디도스(DDos·분산서비스 거부) 사이버대피소 적용 등의 긴급 기술지원도 했다고 밝혔습니다.

미래부는 유사피해 방지를 위해 비슷한 타 카뮤니티 관련업체에도 취약점 점검·보안조치를 실시하도록 요청했습니다.

미래부 관계자는 "해커에 대한 수사와 뽐뿌가 개인정보 보호 조치를 미흡하게 했는지 등의 문제는 경찰과 방송통신위원회에서 담당하게 될 것"이라고 말했습니다.