sentimentalist

최저가 쇼핑 정보, 휴대폰 핫딜 등에 대한 정보 공유 커뮤니티로 유명한 뽐뿌(www.ppomppu.com)가 SQL 인젝션 공격을 받아 전체 회원정보가 유출된 것으로 보입니다. 유출된 회원정보는 뽐뿌 데이터베이스에서 회원정보 DB 전체를 추출한 것으로 보이며 쉬운 비밀번호의 경우 딕셔너리 기반으로 쉽게 복호화가 가능한 MD5 알고리즘으로 암호화가 되어 있어 비밀번호가 해커에 의하여 평문(Plain Text)으로 전환된 것으로 추정되고 있습니다.

뽐뿌 운영진에 따르면 해킹 당한 로그를 확보했고 인터넷 진흥원, 경찰 등 유관 기관을 통해 사고에 대한 분석과 수사 의뢰를 한 상태이며 뽐뿌 커뮤니티 회원들에게 동일한 계정, 암호를 사용하는 다른 인터넷 서비스의 비밀번호를 변경할 것을 사과문과 함께 권고하고 있는 상황입니다. 회원수가 200만명에 이르는 인터넷 커뮤니티가 안전한 코딩(Secure Coding)이나 취약점 탐색 도구 등을 통해 어렵지 않게 발견할 수 있는 SQL 인젝션(SQL Injection) 공격으로 회원정보 DB가 통째로 추출된 것을 놓고 운영진의 보안 인식에 대한 성토가 이어지고 있습니다.

뽐뿌는 전체 웹 사이트를 PHP 용 CMS/게시판 도구인 제로보드(Zero Board)를 기반으로 만들어져 있습니다. 다만 NAVER 에 인수된 이후에 보완, 업데이트 되고 있는 제로보드XE 계열이 아닌 기존의 제로보드 4.0 기반으로 취약점에 대한 보안, 패치를 직접 해야만 하는 것으로 알려져 있습니다. 이번 SQL 인젝션 사고에 대하여 SQL 라이브러리의 취약점으로 발생한 것이라고 운영진은 공지했습니다만 정확히 어떤 모듈, 경로를 통해서 해킹이 이루어졌는지는 아직 알려지지 않았습니다.

국내, 국외에서 발생한 여러건의 사용자 정보 유출 사고 케이스들로 미루어 보아 뽐뿌의 이번 회원정보 유출사건 여러건의 소송으로 번질 가능성도 있어 보입니다. 현재 뽐뿌 서비스는 계속 이루어지고 있지만 여러 게시판이나 포럼을 중심으로 운영진을 성토하는 글들이 이어지고 있어 당분간 정상적인 운영을 어려워 보이며 회원들의 탈퇴도 적지 않을 것으로 예상됩니다. 뽐뿌의 핵심 정보 공유 게시판중 하나인 "뽐뿌게시판"에는 평소에 공유되던 핫딜 상품은 찾아보기 힘들고 운영진과 서비스를 조롱하는 게시물들이 급격히 늘고 있는 상태입니다.

이미 벌어진 사고는 사실상 수습이 어려울 것으로 보입니다. 빼돌린 사용자정보를 다른 경로로 유출하고 있는지 확인되지 않았지만 취약한 알고리즘으로 만들어진 단방향 암호화로 인해 약간의 시간 작업을 통해 많은 사용자들의 비밀번호가 추가로 평문화 될 가능성이 높은 상태입니다. 개인적으로도 즐겨 찾는 서비스였기에 이번 사고가 무척 안타깝습니다. 그동안 몇 번의 징후가 있었음에도 취약한 부분을 더 적극적으로 찾지 않은 점, 어제의 사고 발생 후에 회원들에게 투명하고 신속하게 정보를 제공하지 않았던 점등은 당분간 큰 논란이 될 것 같습니다. 우리의 개인정보, 이제는 더욱 스스로 챙길 수 있도록 노력하는 것 밖에는 답이 없어 보입니다.