196만명 정보 유출한 뽐뿌, 웹페이지 취약점 고스란히

가입자 196만명의 정보가 유출된 '뽐뿌 개인정보 유출사고'가 홈페이지의 기초적인 보안 취약점으로 인한 결과로 나타났다. 공격자(해커)는 홈페이지 취약점을 악용해 가입자 아이디, 비밀번호, 이메일 등 정보를 빼돌린 것으로 파악됐다.

미래창조과학부는 지난달 발생한 온라인 커뮤니티 '뽐뿌' 가입자 정보 유출 사고와 관련 이 같은 조사결과를 20일 발표했다. 미래부는 사고 직후 민간 전문가 등과 '민관합동조사단'을 꾸려 뽐뿌에 남아있는 웹 서버 로그 약 10만건과 개인정보 데이터베이스(DB) 로그 약 2890만건 등을 분석했다.

조사단에 따르면 뽐뿌 홈페이지는 SQL인젝션 취약점으로 인해 해커의 공격에 무너졌다. 해당 취약점을 가진 홈페이지의 경우 해커가 저장된 DB에서 정보를 가져올 때 물어보는 질문을 조작하면 정상적인 자료 외에도 원하는 자료를 빼낼 수 있다. 조작된 질문을 검증하는 절차가 따로 없는 탓이다. 개인정보 DB서버 중 일부 서버에서만 로그를 저장하고 있었다.

조사단은 추가 피해를 방지하기 위해 뽐뿌 홈페이지에 대한 취약점 점검, 디도스(DDoS) 사이버대피소 적용 등 긴급 기술 지원을 진행했다. 또 커뮤니티 관련업체에게 취약점 점검과 보안조치를 하도록 요청했다.

한편 방송통신위원회는 이번 사고로 드러난 뽐뿌 사업자의 개인정보 보호조치 위반 관련사항에 대해서는 '정보통신망이용촉진및정보보호에관한법률'에 따라 조치할 예정이다.