IT's Fun2015.09.12 07:00

최저가 쇼핑 정보, 휴대폰 핫딜 등에 대한 정보 공유 커뮤니티로 유명한 뽐뿌(www.ppomppu.com)가 SQL 인젝션 공격을 받아 전체 회원정보가 유출된 것으로 보입니다. 유출된 회원정보는 뽐뿌 데이터베이스에서 회원정보 DB 전체를 추출한 것으로 보이며 쉬운 비밀번호의 경우 딕셔너리 기반으로 쉽게 복호화가 가능한 MD5 알고리즘으로 암호화가 되어 있어 비밀번호가 해커에 의하여 평문(Plain Text)으로 전환된 것으로 추정되고 있습니다.


뽐뿌 운영진에 따르면 해킹 당한 로그를 확보했고 인터넷 진흥원, 경찰 등 유관 기관을 통해 사고에 대한 분석과 수사 의뢰를 한 상태이며 뽐뿌 커뮤니티 회원들에게 동일한 계정, 암호를 사용하는 다른 인터넷 서비스의 비밀번호를 변경할 것을 사과문과 함께 권고하고 있는 상황입니다. 회원수가 200만명에 이르는 인터넷 커뮤니티가 안전한 코딩(Secure Coding)이나 취약점 탐색 도구 등을 통해 어렵지 않게 발견할 수 있는 SQL 인젝션(SQL Injection) 공격으로 회원정보 DB가 통째로 추출된 것을 놓고 운영진의 보안 인식에 대한 성토가 이어지고 있습니다.





뽐뿌는 전체 웹 사이트를 PHP 용 CMS/게시판 도구인 제로보드(Zero Board)를 기반으로 만들어져 있습니다. 다만 NAVER 에 인수된 이후에 보완, 업데이트 되고 있는 제로보드XE 계열이 아닌 기존의 제로보드 4.0 기반으로 취약점에 대한 보안, 패치를 직접 해야만 하는 것으로 알려져 있습니다. 이번 SQL 인젝션 사고에 대하여 SQL 라이브러리의 취약점으로 발생한 것이라고 운영진은 공지했습니다만 정확히 어떤 모듈, 경로를 통해서 해킹이 이루어졌는지는 아직 알려지지 않았습니다.


국내, 국외에서 발생한 여러건의 사용자 정보 유출 사고 케이스들로 미루어 보아 뽐뿌의 이번 회원정보 유출사건 여러건의 소송으로 번질 가능성도 있어 보입니다. 현재 뽐뿌 서비스는 계속 이루어지고 있지만 여러 게시판이나 포럼을 중심으로 운영진을 성토하는 글들이 이어지고 있어 당분간 정상적인 운영을 어려워 보이며 회원들의 탈퇴도 적지 않을 것으로 예상됩니다. 뽐뿌의 핵심 정보 공유 게시판중 하나인 "뽐뿌게시판"에는 평소에 공유되던 핫딜 상품은 찾아보기 힘들고 운영진과 서비스를 조롱하는 게시물들이 급격히 늘고 있는 상태입니다.







이미 벌어진 사고는 사실상 수습이 어려울 것으로 보입니다. 빼돌린 사용자정보를 다른 경로로 유출하고 있는지 확인되지 않았지만 취약한 알고리즘으로 만들어진 단방향 암호화로 인해 약간의 시간 작업을 통해 많은 사용자들의 비밀번호가 추가로 평문화 될 가능성이 높은 상태입니다. 개인적으로도 즐겨 찾는 서비스였기에 이번 사고가 무척 안타깝습니다. 그동안 몇 번의 징후가 있었음에도 취약한 부분을 더 적극적으로 찾지 않은 점, 어제의 사고 발생 후에 회원들에게 투명하고 신속하게 정보를 제공하지 않았던 점등은 당분간 큰 논란이 될 것 같습니다. 우리의 개인정보, 이제는 더욱 스스로 챙길 수 있도록 노력하는 것 밖에는 답이 없어 보입니다.




저작자 표시 비영리
신고
Posted by 노피디
아이들 키우시는 부모님이라면 삼성출판사라는 이름이 익숙하실 겁니다. 마트와 온라인을 장악한 수많은 스티커북 시리즈들의 출판사이며 재미있는 전집들을 착한 가격으로 판매하고 있어서 인기가 좋은 편이지요. 삼성출판사가 자사의 책을 온라인으로 판매하는 곳이 삼성북스인데요, 이 곳 역시 공동구매, 특가판매를 수시로 하고 있어서 엄마, 아빠들에게 인기가 좋습니다.

이 곳 역시 고대(?)로부터 내려온 관습에 따라 주민등록번호를 가입과 함께 제출해야 하는 웹 사이트 중 한 곳 이었습니다. 그런데 9월 28일자로 전격적으로 수집한 주민등록번호를 폐기하고 향후 삼성북스를 포함한 자사의 패밀리 사이트에서는 주민등록번호를 받지 않겠다는 공지를 오늘 올려서 화제가 되고 있네요. ([바로가기] 삼성북스의 주민번호 폐기 공지)


얼마전 전례없는 주민번호 및 개인정보 유출이 있었지요. 바로 대부분의 국민이 가입되어 있는 SK커뮤니케이션즈의 싸이월드 개인정보 유출이었습니다. 이로 인해 주민등록번호 사용에 대한 불만과 문제점에 대한 지적이 폭발하며 한동안 인터넷을 뜨겁게 달구기도 했었습니다. 하지만 주민등록번호를 받지 않겠다고 하는 곳은 이런 상황에서도 찾아보기 힘들었습니다. 인터넷 실명제와 같은 제도, 관습에 따른 수집 행태로 인한 것이었지요. 개인이 운영하는 조그만 웹사이트도 주민등록번호를 요구하는 경우가 많으니 말 그대로 과도한 개인정보가 요구되는게 우리의 현실이었습니다.

이런 상황 때문에 이번 삼성북스의 주민번호 폐기는 더 의미가 있는 것 같습니다. 비록 많은 사람들이 찾는 곳이 아니고 특정한 계층, 연령의 사람들이 찾는 곳이지만 시작이 반이라고 이런 움직임을 따르는 곳들이 앞으로 우후죽순 늘어날 수 있는 계기를 마련했다는 생각이 듭니다. 전격적인 결정을 환영하여 감사의 뜻으로 삼성북스의 링크를 공유하오니 아이들 책, 조카 선물로 책이 필요하시면 많이 이용하시면 좋겠네요!


-  NoPD - 
신고
Posted by 노피디
IT's Fun2009.02.28 14:43
NoPD 는 회사업무를 제외한 중요한 개인적인 일들 (잡지 원고를 위한 계정, MVP 관련 메일, 기타 개인적인 메일들) 을 위한 메인 계정으로 엠팔 (엠파스) 메일을 사용하고 있습니다. 오늘부터 통합된 엠파스 & 네이트가 출범한다고 해서 주말 근무 나온김에 -_- 할일도 없겠다 계정 통합이나 해둬야 겠다고 생각을 하고 로그인을 시도했습니다.


잠시동안 주소가 잘못되었다는 에러가 조금 나긴 했었는데, 이내 서블릿 에러 메세지로 변신하여 당혹스러움을 제게 주고 있습니다. 고객센터에 전화로 문의하면서 트러블 슈팅을 하고 있는데 문제가 없다는 말만 되풀이 하고 있네요.

큰 포탈 사이트가 통합되는게 어려운건 물론 압니다만, 이게 참 이런식이면 곤란하지요. 따로 화면을 담아두지는 않았지만 30여번의 시도중 한번 통합 관련 화면으로 넘어간 적이 있습니다. 그런데 제 계정이 아닌 다른 사람의 계정이 뜨면서 "통합을 환영한다!" 라고 메세지가 나오더군요.

다른 사용자가 곤란해 질 것 같아서 창을 다시 닫아버렸습니다만 뭔가 사용자 통합을 위한 웹 어플리케이션에 중대한 오류가 있는건 확실한 것 같습니다. 혹시 양쪽에 계정을 같이 쓰시는 분들 한 번 확인해 보시기 바랍니다.

중요한 메일들을 열어 볼 수가 없으니 참으로 당황스럽다고 밖에 표현을 못하겠네요. 회원수 합쳐서 네이버를 넘었느니 뭐니 되도 않는 언론 보도 자료 배포하지 말고 사용자들에게 피해가 오지 않도록 빠른 조치나 했으면 좋겠네요. 킁.

- NoPD -
신고
Posted by 노피디

티스토리 툴바