190만명의 가입자를 보유한 대형 휴대폰 커뮤니티 '뽐뿌'에서 해킹 사건이 발생했다. © News1 이은주 디자이너

국내 대형 휴대폰 커뮤니티 사이트인 '뽐뿌'에서 해킹 사건이 벌어지면서 소규모 운영진으로 가동되는 사이트의 해킹 취약성이 수면 위로 올랐다. 190만명의 회원을 관리하는 뽐뿌의 경우 정보책임자는 단 3명에 불과했다. 커뮤니티 사이트는 대부분 사이트를 저렴하게 구축하려다 보니 보안을 신경쓰지 못한다. 전문가들은 커뮤니티 사이트 대부분이 해킹에 취약할 것이라고 예상했다.

13일 뽐뿌 운영진에 따르면 지난 11일 밤 발생한 해킹으로 뽐뿌 회원들의 아이디(ID)·비밀번호(PW) 등 로그인 정보, 이메일주소, 휴대폰 거래 공간인 '장터' 비밀번호 등이 누출됐다. 뽐뿌 회원은 190만명에 달한다.    

이번 해킹에 사용된 수법은 SQL 인젝션(Injection)이다. 국제웹보안표준기구(OWASP)에서는 2년에 한번씩 가장 많이 이뤄지는 공격 수법 톱10을 선정하는데 SQL 인젝션은 줄곧 3위 안에 포함돼 왔다. 이미 공개된 수법으로 온라인에서 빈번히 일어나는 기초적 공격방식이다.

어떠한 사이트에도 있을 법한 아이디(angel 등)를 로그인 입력창에 쓰고 아무 비밀번호를 넣으면 통상 '아이디는 맞지만 비밀번호가 틀리다'는 메시지가 나온다. 해커는 이 아이디를 사용하는 가입자가 있다는 것을 확인하게 되며, 이후 SQL 명령어로 틀린 비밀번호를 넣더라도 서버에서 맞는 비밀번호로 인식하도록 조작한다. 이렇게 접속한 뒤 사이트 내 데이터베이스에 접근한다.보안업계에서는 이처럼 전통적인 수법으로도 대형 사이트가 공격당한 이유는 적은 돈으로 시작하는 민간 사이트가 흔히 저지르는 투자 미흡이라고 지적했다. 신종회 고려대 정보보호대학원 겸임교수는 "대부분 영세한 도박·게임·중고 장터 등의 사이트가 보안을 고려하지 않은 상태에서 저렴하게 웹 사이트를 구축하다보니 보안에 신경을 쓰지 못하는 경우가 많다"며 "사이트 구축시 보안을 고려해야 하고 오픈 후에도 각 사이트들이 웹 취약점 점검을 철저하게 해야 한다"고 밝혔다.

뽐뿌는 휴대폰을 저렴하게 구매할 수 있는 정보가 활발히 공유되는 사이트로 입소문을 탔다. 사이트 덩치는 커져갔지만 이에 따라 병행해야 하는 보안에는 소홀했던 것으로 보인다. 뽐뿌가 확보하고 있는 가입자는 190만명이지만, 해킹 발생 직후 유출 경위 및 경과 조사를 위해 꾸려진 회의에 참석한 뽐뿌 정보책임자는 단 3명이다. 

윤광택 시만텍코리아 상무는 "영세한 사이트들이 회원수가 늘어날 것을 예상하지 못하고 보안에 신경을 못쓴느 경우가 많다"며 "회원들이 점점 많아질수록 웹 방화벽 솔루션을 설치하는 등 보안에 더욱 철저하게 대응할 필요가 있다"고 강조했다.

그는 또 "SQL 인젝션은 가장 일반적인 공격인데 여기에 당했다는 것은 그만큼 보안에 신경을 쓰지 않았다는 것"이라며 "애초에 웹사이트를 구축할 때 이런 보편적인 공격방법에 대응할 수 있도록 디자인해야 하고, 회원가입시 필요한 것만 최소한으로 수집해야 한다"고 조언했다.

뽐뿌측은 "뽐뿌는 정보보호관리체계(InformationSecurity Management System·ISMS) 인증대상으로, 올초부터 관련 컨설팅 및 보안장비 도입을 통해 기술적, 물리적 보호조치 등 종합적인 정보보호 관리체계를 확립 중에 있다"고 해명했다.


hkmaeng@