뽐뿌 회원 196만명 정보 유출…미래부, 중간조사 결과 발표

뽐뿌 회원, 추가피해 방지 위해 비밀번호 변경해야
해커, SQL인젝션 방식 사용 개인정보 빼가

▲뽐뿌 홈페이지 공격 방식(출처:미래창조과학부)

[아시아경제 강희종 기자]지난 9월 11일 발생한 '뽐뿌' 홈페이지 해킹 사건으로 회원 196만명의 정보가 유출된 것으로 확인됐다.미래창조과학부는 뽐뿌 홈페이지 침해사고와 관련, 해킹방법, 사고원인 등에 대한 민관합동조사단의 조사결과를 20일 발표했다. 미래부는 사고 발생 다음날인 9월12일 사고 조사 분석을 위해 미래부 공무원 및 민간 전문가로 조사단을 구성·운영했다.

뽐뿌는 휴대폰 관련 커뮤니티 사이트로 회원수만 200만명에 달한다. 미래부는 이번 침해사고로 회원수의 거의 전부인 196만명의 회원 정보가 유출된 것으로 파악하고 있다. 조사를 담당했던 한국인터넷진흥원 관계자는 "데이터베이스(DB)에서 회원 정보를 1만명씩 빼가는 방식으로 약 196만명의 개인정보가 새나갔다"고 밝혔다.

이에 따라 뽐뿌에 가입한 회원들은 추가 피해를 방지하기 위해 반드시 비밀번호를 변경해야 할 것으로 보인다.조사단은 뽐뿌 운영업체인 뽐뿌커뮤니케이션에 남아있는 웹 서버 로그(약10만건)와 개인정보 DB 로그(약2890만건) 등을 분석해 해킹 방법 및 정보탈취에 악용된 보안취약점 등을 확인했다.

미래부에 따르면 해커는 ①홈페이지 구조 및 취약점을 파악하고 ②SQL(Structured Query Language) 인젝션에 취약한 웹 페이지 확인한 후 ③SQL 인젝션을 통한 개인정보를 탈취하는 등 3단계로 진행했다.

SQL인젝션은 데이터베이스에 대한 질의 값(SQL 구문)을 조작해 정상적인 자료 이외에 해커가 원하는 자료까지 데이터베이스로 부터 유출하는 공격 기법이다. 뽐뿌 홈페이지에는 비정상적인 DB 질의에 대한 검증절차가 없어 SQL 인젝션 공격에 취약했던 것으로 파악됐다.

조사단은 추가적인 해킹피해를 방지하기 위하여 뽐뿌 홈페이지에 대한 취약점 점검, 디도스(DDoS) 사이버대피소 적용 등의 긴급 기술지원을 실시했다고 밝혔다. 미래부는 유사피해를 방지하기 위해 커뮤니티 관련업체에게 취약점 점검·보안조치를 하도록 요청했다고 덧붙였다.

이와 별개로 방송통신위원회는 개인정보 보호조치 위반 관련사항에 대해서는 '정보통신망이용촉진및정보보호에관한법률'에 따라 조치할 예정이라고 밝혀 운영업체에 대한 제재 가능성을 시사했다.

누가 왜 뽐뿌 홈페이지를 해킹했는지에 대해서는 이번 조사에 포함되지 않았다. 현재 서울지방경찰청 사이버수사대가 뽐뿌 홈페이지 해킹 사건에 대한 수사를 진행하고 있다.

강희종 기자 mindle@asiae.co.kr