뽐뿌 해킹사건, 기업의 사후대응이 얼마나 중요한지 보여주는 사례
[보안뉴스 민세아] 과거에서부터 현재까지 해킹을 당한 국내외 기업은 수없이 많았다. 이러한 가운데 최근 해킹을 당한 온라인 커뮤니티 사이트 뽐뿌가 회원들의 거센 비판과 함께 논란의 중심에 선 이유는 허술한 보안실태가 드러난 데다가 해킹 당한 후의 대처 역시 너무나 미흡했기 때문이다.
2015년 9월 11일 오전 1시 50분 경 뽐뿌 웹사이트 내에 존재하는 SQL인젝션 취약점을 통해 회원들의 개인정보가 유출됐다. 이로 인해 뽐뿌에 가입한 190만 명 이상의 모든 회원들의 아이디, 단방향 암호화된 비밀번호, 생년월일, 이메일, 닉네임, 암호화된 장터 비밀번호, 가입일 등이 유출됐다.
▲ 뽐뿌 측이 홈페이지 공지사항에서 밝힌 대응조치
사고가 발생한 이후 뽐뿌 운영진 측은 “한국인터넷진흥원(KISA)의 도움을 받아 홈페이지의 웹쉘 및 악성코드에 대한 전수조사를 진행했고, 취약점 파악 후 추가 피해가 발생하지 않도록 소스코드 보완작업을 진행했다. 최근 6주간 접속기록이 없는 회원들은 비밀번호를 새로 설정해야 로그인할 수 있도록 임시조치를 취했다”며 공지했다.
현재도 민간합동수사단에서 자세한 피해상황에 대해 조사 중이고, 홈페이지를 해킹한 범인을 추적하기 위해 경찰청에 수사를 의뢰한 상태라고 전했다.
하지만 뽐뿌가 온라인 커뮤니티 중 전체 8위의 대형 커뮤니티임에도 불구하고, 아주 기초적인 SQL인젝션 해킹 기법으로 회원들의 개인정보가 유출된 것은, 해킹 공격을 최소화할 수 있는 기본적인 취약점 확인조차 제대로 되어 있지 않았던 것으로 볼 수 있다. 이에 “이용자들의 컨텐츠로 먹고 살면서 이용자들의 정보보호에는 거의 투자를 하지 않았다”며 뽐뿌 회원들의 비판이 커지기 시작했다.
뽐뿌 해킹 사건이 일어난 이후, 뽐뿌 운영진 측이 사과 공지를 팝업으로 띄웠지만 이용자들이 입은 피해 보상과 향후 보안대책에 대한 구체적인 내용은 명시돼 있지 않았다. 회원들이 ‘뽐뿌게시판’에 항의글을 올리자 운영진은 ‘뽐뿌게시판’을 통한 항의는 자제해달라는 공지사항을 올렸다가 거센 비난을 받고, 해당 공지사항을 삭제하기도 했다.
▲ 이용자들의 항의를 받고 삭제한 공지사항
뽐뿌는 자체적으로 수익을 내는 구조가 아니다. 오로지 스폰서 링크, 홈페이지 우측의 구글 애드센스, 오버추어(Overture) 등으로 수익을 내는 구조다. 즉, 매출 발생건수에 따라 광고비를 지불하는 CPS, 노출·클릭수에 따라 광고비를 지불하는 CPM·CPC, 업체게시판 등의 입점료로 수익을 얻기 때문에 이용자들의 게시물, 컨텐츠가 수익으로 직결된다.
이러한 수익 구조를 아는 일부 회원들이 커뮤니티의 자산이라고 할 수 있는 게시글을 삭제하기 시작했다. 한 회원은 이번 뽐뿌 해킹사건을 정리하면서 “운영진 측에서 이용자들이 게시 글을 삭제하지 못하도록 ‘자신이 쓴 글 전체보기’ 기능과 ‘작성자 검색’ 기능을 차단했다”며, “심지어는 삭제한 게시물이 삭제 이전으로 되돌아오는 경우도 있었다”고 말했다.
이에 대해 뽐뿌 운영진 측은 “논란이 일 당시 게시판에 동시 접속자수가 급증하면서 트래픽이 과부하되기 시작했다. 때문에 서버 상의 여러 오류가 발생하기 시작해 해당 기능을 임시적으로 막은 것이다. 운영진 측에서 사전에 안내를 미리 하지 못해 논란이 가중된 것 같다”고 답했다. 이후 뽐뿌는 16일경 해당 기능을 다시 활성화시켰다. 이 역시 이용자들의 거센 항의 때문이었다.
논란이 가라앉지 않는 이유는 또 있다. 해킹사고가 발생한 지 얼마 되지 않아 악성 앱이 홈페이지의 일부 광고 배너를 통해 이용자들에게 배포됐기 때문이다. 회원들은 “뽐뿌 운영진들이 악성 앱 유포에도 불구하고 ‘악성 앱을 다운받아 설치하면 안 된다’는 주의만 주고 광고를 내리지는 않았다”며 날을 세웠다.
하지만 해당 악성 앱 유포 건에 대해서 뽐뿌는 억울하다는 입장이다. 뽐뿌 홈페이지는 구글 애드센스라는 서비스를 이용해 광고를 노출시킬 뿐 원천적인 문제는 해당 광고 제공 업체에 있다는 것. 뽐뿌 운영진 측은 악성 앱 유포 당시 구글 애드센스 서비스를 이용하는 타 웹사이트 모두 동일한 문제가 있었다고 주장했다.
또한, 뽐뿌 측은 악성 앱 유포 건에 대해 인지한 후 12일 오전에 구글 애드센스 서비스를 잠깐 멈췄다가 더 이상 문제가 발생하지 않는다고 판단한 당일 저녁에 서비스를 다시 재개했다. 하지만 일부 회원들은 이후에도 계속 악성 앱이 다운로드 된다며 항의했다. 더욱이 악성 앱 유포를 두고 광고 제공 업체에게만 책임을 돌리는 듯한 주장은 뽐뿌 사이트를 방문하는 이용자들에 대한 기본적인 도리를 져버렸다는 비판이 제기된다.
뽐뿌가 해킹을 당한 것은 이번이 처음이 아니다. 과거에도 비슷한 일을 겪었다. 2010년 1월 15일, 홈페이지가 해킹당해 회원들의 아이디, 비밀번호가 전송되는 사태가 발생했고, 당시에도 운영진의 안일한 대처에 회원들은 불만을 토로했다.
5년이 지난 지금도 별 다를 것 없는 대처에 실망한 많은 회원들은 뽐뿌를 떠나 새로 활동할 수 있는 온라인 커뮤니티를 찾으려는 움직임을 보이고 있다. 뽐뿌를 대체하기 위한 신생 웹사이트도 속속 생겨나고 있다.
뽐뿌는 해킹을 당한 후에도 아직까지 제대로 된 재발방지 대책을 내놓지 않고 있다. 회원들의 개인정보를 악용한 2차 피해가 우려되는데도 비밀번호를 바꾸라는 공지사항만 내놓고 있을 뿐이다.
한편, 뽐뿌는 정보보호관리체계(ISMS) 인증 의무화 대상으로, 2015년 상반기에 ISMS 인증 컨설팅을 진행한 바 있다. 이로 인해 겉핥기식의 ISMS 인증 컨설팅과 이에 따른 사후조치 부실 논란도 불거질 것으로 보인다.
현재 뽐뿌 운영진 측은 2차 피해를 방지하기 위해 18일 오전 6시부터 홈페이지 서버를 정비하고 있다고 밝혔다. 구체적인 재발방지대책이나 회원들의 피해에 대해서는 미래부와 방통위를 통한 전수조사가 완료되고, 모든 사안들이 명확히 확인된 이후 신중하게 입장을 밝히겠다고 전했다.
이와 관련 법무법인 한별 정재완 변호사는 “기업이 해킹을 당했을 경우 기업의 특성을 고려해 고객에게 적절한 보상책을 제공하는 등 회원들의 마음을 붙잡을 수 있는 적극적인 대응이 필요하다. 사고 발생 후라도 개인정보보호를 강화하는 대책을 마련해 회원들의 신뢰를 회복하는 것이 중요하다. 해킹 사고로 인해 흥하고 망하는 것은 기업들의 현명한 대처에 달려 있다”고 전했다.
[민세아 기자(boan5@boannews.com)]
<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>