서비스

보안 사각지대 뚫린 골든디스크 인기상...취약점 노린 해킹사고 발생

홍하나

[디지털데일리 홍하나기자] 오는 5일~6일 진행되는 국내 대중가요 시상식 2019 골든디스크어워즈의 인기상 투표 과정에서 해킹사고가 발생했다. 특정 사용자들이 엘지유플러스가 관리하는 골든디스크 이벤트 페이지의 취약점을 노려 아이디(ID)를 무한대로 생성해 투표에 참여한 것.

3일 관련 업계에 따르면 지난달 31일까지 진행된 2019 골든디스크어워즈 인기상 투표 과정에서 특정 사용자들이 비정상적인 방법으로 골든디스크 이벤트 페이지를 접속해 해킹을 저질렀다.

다수 커뮤니티와 SNS 게시글에 따르면, 해킹 행위는 31일 투표 마감 한 시간 전 포착됐다. 특정 가수에 표를 몰아주기 위해 해킹을 유도하는 게시글 사진이 공개된 것.

해당 페이지 관리주체인 LG유플러스 측에 따르면 이 팬덤은 ‘크롬 시크릿모드’로 접속한 뒤 개발자 모드를 활용했다. 자신의 아이디와 휴대폰번호로 실명인증을 받은 뒤 인증된 상태에서 일명 개발자용 ‘디버그모드’에 접속, 임의로 이름과 휴대폰번호를 입력한 다음 아이디를 무한대로 생성해 투표했다.

이에 LG유플러스 측은 “보안 취약점 관련 이벤트 페이지에 비정상 경로로 접근하는 것에 대해 대비했으나 이번처럼 크롬 시크릿모드로 접근하는 예외처리가 미흡했다”고 인정했다. 아울러 이벤트 종료 시 페이지의 정보를 폐기한다고 밝혔다.

이번 해킹사고에 대해 보안업계 관계자는 웹페이지 보안문제라기보다 코딩단계에서의 문제로 봤다. 코딩단계에서 입력 값과 전송 값이 일치하는지 확인하는 장치를 마련했어야 한다는 것. 이 관계자는 “신뢰성검증 차원에서 A라는 해쉬값이 전송 시에도 A인지 확인하는 매커니즘이 있어야 한다”고 설명했다.

이들이 해킹까지 감수한 배경으로 골든디스크 인기상 투표는 한 사람(휴대폰 번호)당 한 개의 아이디로 제한되기 때문이다. 다만 한 아이디 당 하루 3개의 투표권이 주어진다. 여기에 광고를 시청할 경우 추가 3개의 투표권이 추가적으로 부여된다. 이처럼 최대 6개의 투표권을 행사할 수 있음에도 불구하고 그릇된 팬심에서 해킹사고가 발생한 것.

일각에서는 개인정보 도용문제 가능성에 대해 주장한다. 무작위로 번호를 생성한 만큼 실재하는 번호와 일치할 수 있기 때문. 다행히도 엘지유플러스 측은 현재까지 접수된 개인정보 도용 피해는 없다고 전했다. 다만 대중가요 시상식은 연말, 연초에 진행되는 연례 행사인 만큼, 혹시모를 사고에 대비해 보안을 철저하게 해야 한다는 의견이 나온다.

아울러 한국인터넷진흥원(KISA)에는 관련 신고 1건이 접수된 상황이다. 하지만 개인의 개인정보침해 건이 아닌 수사요청 건으로, KISA에서도 해당 요청을 검토하고 있는 단계다. 만약 수사대상일 경우, 수사기관에서 조사에 착수할 것으로 보인다.

보안, 연예계 업계 관계자들에 따르면 팬덤 사이에서 투표를 위한 아이디, 휴대폰번호 도용 문제는 어제 오늘 일이 아니다. 특히 아이돌 팬덤 대부분이 미성년자인 만큼, 개인정보 도용에 대한 문제인식 미비에서 비롯된 것으로 보인다.

업계 관계자는 “팬덤에서 좋아하는 연예인을 밀어주기 위해 부정 투표, 명의 도용을 일삼는 행위는 비일비재한 일”이라면서 “시상식은 매년 진행되는 이벤트인 만큼, 만일을 대비하기 위해 페이지 관리자가 보안에 대해 철저하게 신경써야 한다”고 밝혔다.

<홍하나 기자>hhn0626@ddaily.co.kr

홍하나
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널