법제도/정책

‘뽐뿌’ 회원정보 유출 “웹 취약점 악용한 DB 공격이 원인”

이유지

- 공격자, 홈페이지 취약점 파악후 SQL 인젝션 공격 실행

[디지털데일리 이유지기자] 지난달 11일 뽐뿌 홈페이지에서 발생한 196만명의 회원정보 유출 사고는 웹 취약점을 악용한 데이터베이스(DB) 공격에 의한 것으로 나타났다.

미래창조과학부는 뽐뿌 홈페이지 침해사고 관련 해킹방법, 사고원인 등에 대한 ‘민·관합동조사단(이하 조사단)’이 수행한 조사결과를 20일 발표했다.

조사단은 뽐뿌에 남아있는 웹 서버 로그 약 10만건과 개인정보 DB 로그 약 2890만건 등을 분석해 해킹 방법과 정보탈취에 악용된 보안취약점 등을 확인했다.

그 결과, 해커는 먼저 홈페이지 구조와 취약점을 파악, SQL(Structured Query Language) 인젝션에 취약한 웹페이지를 확인했다. 이후 SQL 인젝션 공격으로 개인정보를 탈취했다.

SQL 인젝션은 DB에 대한 질의 값(SQL 구문)을 조작해 정상적인 자료 이외에 해커가 원하는 자료까지 DB로부터 유출할 수 있는 웹 취약점 공격기법이다.

뽐뿌 홈페이지에는 비정상적인 DB 질의에 대한 검증절차가 없어 SQL 인젝션 공격에 취약한 웹페이지가 존재했으며, 개인정보 DB서버 중 일부 서버에서만 로그를 저장하고 있었다. 취약한 웹페이지에는 숫자만을 입력받도록 돼 있었으나, 정상적인 숫자 외에 개인정보(ID, 생년월일, 이메일 등)를 질의하는 SQL구문 삽입·실행이 가능한 상태였다.

미래부와 방통위는 침해사고 발생 즉시 초동대응팀을 가동해 뽐뿌 사이트에서 개인정보 유출여부를 확인하고 해당 피해사실과 이용자 조치방법 등을 이용자에게 통지토록 조치했다.

조사단은 추가적인 해킹피해를 방지하기 위해 뽐뿌 홈페이지에 대한 취약점 점검, 디도스(DDoS) 사이버대피소 적용 등의 긴급 기술지원을 실시했다.

미래부는 유사피해를 방지하기 위해 커뮤니티 관련업체에게 취약점 점검․보안조치를 하도록 요청했다. 방통위는 개인정보 보호조치 위반 관련사항에 대해 ‘정보통신망 이용 촉진 및 정보보호에 관한 법률’에 따라 조치할 예정이다.

<이유지 기자>yjlee@ddaily.co.kr

이유지
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널