통신 관련 커뮤니티 ‘뽐뿌’에서 200만명에 달하는 회원정보가 유출된 것은 홈페이지에 기본적인 보안장치를 마련해두지 않았기 때문인 것으로 밝혀졌다.
미래창조과학부는 196만명의 회원정보가 유출된 ‘뽐뿌’ 홈페이지 해킹사건 민관 합동조사단 조사결과를 20일 발표했다.
조사 결과 해커는 ‘SQL인젝션’이라는 방법을 이용해 홈페이지 개인정보를 빼냈다. SQL인젝션은 홈페이지 주소창 등에 데이터베이스 접근권한을 의미하는 ‘SQL구문’을 입력, 데이터베이스에 접근한 뒤 원하는 자료를 빼내는 공격기법이다.
뽐뿌에는 비정상적인 SQL구문을 걸러내는 장치를 해두지 않아 SQL인젝션 공격에 취약한 웹페이지가 있었다.
해당 웹페이지는 당초 숫자만 입력하도록 설계됐으나 정상적 숫자 외에 ID, 생년월일 등 개인정보를 탈취할 수 있는 SQL 구문 삽입이 가능했던 것으로 조사결과 밝혀졌다.
미래부와 방송통신위원회는 초동대응팀을 가동해 뽐뿌 사이트에서 개인정보 유출을 확인, 피해사실과 조치방법 등을 이용자에게 통지하도록 조치했다.
조사단은 추가 해킹피해를 막기 위해 뽐뿌 홈페이지 취약점 점검, 디도스 사이버대피소 적용 등 긴급 기술지원을 했다.
미래부는 유사피해를 방지하기 위해 뽐부 관리업체에 취약점 점검 및 보안조치를 요청했다.
방통위는 개인정보 보호조치 위반사항에 대해서는 관련법에 따라 조치하기로 했다.
김용주기자 kyj@etnews.com