3주 전 예고에도 190만명 정보 털린 '뽐뿌'

"탄탄한 보안망" 자랑... 허술한 보안 조롱 줄이어

15.09.13 19:13l최종 업데이트 15.09.13 19:13l

공감13 댓글1

큰사진보기
▲ 휴대폰 구매 정보 사이트 뽐뿌 사이트의 13일 오후 첫 화면. 지난 11일 발생한 회원정보 해킹에 대해 사과 공지가 올라와 있다.
ⓒ 뽐뿌	관련사진보기

휴대폰 구매 정보 사이트인 '뽐뿌'의 회원 190여 만 명의 개인정보가 털렸다. 불과 3주 전 '해킹예고'가 있었는데도 운영팀이 "탄탄한 보안망"이라며 자랑만 했지 별다른 보안조치를 하지 않은 대가다.

해킹이 예고된 건 지난달 19일부터였다. 여러 개의 계정으로 비슷한 내용의 글 수십개가 게시판에 올라오기 시작했다. 글에는 수십개의 뽐뿌 이용자 ID와 비밀번호, 주민등록번호, 이메일, 전화번호가 게시돼 있었고 글쓴이는 이 같은 개인정보 500여 명 분을 확보하고 있다고 주장했다.

이에 뽐뿌 운영팀은 8월 20일 올린 공지글을 통해 "뽐뿌의 로그인 정보가 유출돼 발생한 문제는 아니다"라며 "문제의 계정들은 타 사이트 정보와 뽐뿌 로그인 정보가 일치한 계정을 이용한 것으로 판단된다"고 해명했다. 해커로 의심되는 인물이 올린 회원정보 중에는 주민등록번호가 포함돼 있는 경우도 있는데 뽐뿌는 주민등록번호를 수집하지 않으며, 게시된 회원 이메일 주소가 뽐뿌가 가진 이메일 주소와 다른 경우 등이 있다는 게 그 근거다.

당시 뽐뿌 운영진은 "뽐뿌 비밀번호는 단방향 암호화되고, 복호화(암호를 풀어 원상복구)할 수 없는 값으로만 저장하고 있다"고 밝혔다. 뽐뿌에 저장된 로그인 비밀번호는 암호화돼 이를 유출하더라도 암호를 풀어 본래의 비밀번호를 알아낼 수 없다는 얘기였다. 또 "뽐뿌는 자체 방화벽을 갖춘 것은 물론 공적기관과 긴밀히 협조해 모니터링 하며 보호하는, 국내 굴지 IDC(인터넷 데이터센터)의 탄탄한 보안망을 갖추고 있다"고 자신했다.

뽐뿌가 아닌 다른 사이트에서 유출된 ID와 비밀번호인데, 뽐뿌에서도 같은 ID와 비밀번호를 사용하는 경우, 마치 해커가 뽐뿌의 개인정보를 유출한 것처럼 행세할 수 있다는 설명이다.

당시 이용자 대다수는 이 같은 해명을 받아들여 운영팀을 격려했으며, 일부 이용자만 여전히 의혹의 눈초리를 거둬들이지 않는 분위기였다.

해킹 사태가 벌어지기 사흘 전인 지난 8일 새벽 비슷한 사건이 또 발생했지만 운영팀은 별다른 해명을 하지 않았다.

큰사진보기
▲ 휴대폰 구매 정보 사이트인 뽐뿌에 지난 8일 올라온 도배글. 뽐뿌 회원들의 ID와 비밀번호를 담고 있었다. 사흘 뒤 뽐뿌 회원 개인정보가 해킹됐다.
ⓒ 뽐뿌	관련사진보기

3주 뒤 터진 해킹사태...기초적 해킹에 뚫리고 암호화도 허술

9월 11일 오후 2시경 뽐뿌 회원들의 아이디와 비밀번호를 적은 글과, 뽐뿌 회원 개인정보를 정리한 엑셀파일 스크린샷이 뽐뿌에 게시됐다. 운영팀은 "현재 개인 계정에 대한 탈취 시도가 지속되고 있는 것으로 확인되고 있다"며 장기 미접속자들의 비밀번호를 일괄 변경하고 회원들에게 비밀번호 변경을 당부했다. 이때까지만 해도 운영팀은 해킹 사실을 인정하지 않았다.

하지만 9시간 여 뒤인 같은 날 오후 11시 경 운영팀은 모든 회원들의 ID와 암호화된 비밀번호, 생년월일, 이메일, 뽐뿌 내 닉네임 등의 개인정보가 서비스내의 취약점 공격을 통해 유출됐다고 공지하고 사과했다. 운영팀이 밝힌 해킹 시점은 같은 날 오전 1시 경으로, 해킹이 일어난 22시간 여 뒤에야 이를 인정한 것이다 .

이 해킹이 지난 8월 19일과 9월 8일 회원 ID·비밀번호 게시물을 올린 해커와 동일인물의 소행이라면, 이 해커는 뽐뿌에 예고를 한 뒤 해킹을 한 셈이다. 동시에 운영팀은 예고된 해킹도 막지 못했다는 말이 된다. 운영팀은 8월 19일의 게시물이 이번 해킹과 관련이 있는지 이 사건을 조사중인 민관합동조사단에 관련 자료를 넘긴 상태다.

동일인물에 의한 '해킹 예고'가 아니었다 해도 허술한 보안조치에 대한 비판은 피할 수 없을 걸로 보인다. 9월 11일 해커가 제시한 내역을 살펴보면, 뽐뿌의 데이터베이스에 저장된 비밀번호는 쉽게 복호화가 가능한 MD5 알고리즘으로 암호화됐음을 알 수 있다. 이 해커가 제시한 비밀번호들로 봐서도 상당수 비밀번호를 이미 복호화하는 데에 성공했을 걸로 보인다.

특히 해킹 방법이 'SQL 주입 공격'이라는 방법을 통해 이뤄졌다는 것도 운영팀의 보안 대책이 매우 허술했다는 증거다. 이 공격방법은 해커가 웹페이지 주소창이나 ID·비밀번호란에 SQL 구문을 입력해 데이터베이스 정보를 빼내는 방법이다. 가장 기초적인 보안공격방법으로, 보통은 ID·비밀번호 입력란에 SQL구문 입력을 못하도록 하는 필터링 등으로 방지할 수 있다.

해킹 3주 전 이미 이용자 계정 해킹이 논란이 된 상태에서 뽐뿌 운영팀은 '타 사이트 해킹정보'라고 해명하며 "탄탄한 보안망"을 강조했다 하지만 기초적인 보안 강화조치도 하지 않고 있다가 190만여명 회원 모두의 개인정보를 해킹당한 셈이다.

뽐뿌 이용자들은 운영팀을 강력 성토하고 있다. 항의성 글을 올리는 것은 물론이고, 새로운 형태의 항의 게시물도 선보이고 있다. 본래 판매물품을 올리는 용도로 쓰는 '뽐뿌게시판'에는 책 제목을 흉내낸 '해킹맛보기', '해킹의 양날 2종 세트', '퇴출을 두려워 마라 홀로서기에 도전하라'와 같은 제목의 게시물들이 올라와 해킹에 속수무책으로 당한 뽐뿌 운영팀을 조롱하고 있다.

큰사진보기
▲ 12일 휴대폰 구매 정보 사이트 '뽐뿌'에 올라온 해킹 조롱글. 책 판매글 형식으로 뽐뿌 운영팀에 항의를 표시한 글이 많다.
ⓒ 뽐뿌	관련사진보기