뽐뿌 홈페이지 침해사고 조사 결과 발표
- 웹 취약점을 악용한 데이터베이스 공격으로 정보 유출 발생 -
|
□ 미래창조과학부(장관 최양희)는 지난 9.11일 발생한 뽐뿌 홈페이지 침해사고(약 196만명의 회원정보 유출) 관련 해킹방법, 사고원인 등에 대한 ‘민․관합동조사단(이하 조사단)*’의 조사 결과를 발표하였다.
* 사고조사 분석을 위해 미래부 공무원 및 민간 전문가로 구성·운영(9.12~)
□ 조사단은 (주)뽐뿌 커뮤니케이션(이하 뽐뿌)에 남아있는 웹 서버 로그(약10만건)와 개인정보 데이터베이스(DB) 로그(약2,890만건) 등을 분석하여 해킹 방법 및 정보탈취에 악용된 보안취약점 등을 확인하였다.
o 해커는 ①홈페이지 구조 및 취약점을 파악하고 ②SQL 인젝션*에 취약한 웹 페이지 확인한 후 ③SQL 인젝션을 통한 개인정보를 탈취하는 등 3단계로 진행하였다.
* SQL(Structured Query Language) injection : 데이터베이스에 대한 질의 값(SQL 구문)을 조작하여 정상적인 자료 이외에 해커가 원하는 자료까지 데이터베이스로 부터 유출 가능한 공격기법
o 뽐뿌 홈페이지에는 비정상적인 DB 질의에 대한 검증절차가 없어 SQL 인젝션 공격에 취약한 웹페이지*가 존재하였으며, 개인정보 DB서버 중 일부 서버에서만 로그를 저장하고 있었다.
* 해당 웹페이지에는 숫자만을 입력받도록 되어 있었으나, 정상적인 숫자 외에 개인정보(ID, 생년월일, 이메일 등)를 질의하는 SQL구문 삽입·실행이 가능
□ 미래부와 방통위는 침해사고 발생시에 초동대응팀을 가동하여 뽐뿌 사이트에서 개인정보 유출여부를 확인하고 해당 피해사실 및 이용자 조치방법 등을 이용자에게 통지토록 조치하였으며,
o 조사단은 추가적인 해킹피해를 방지하기 위하여 뽐뿌 홈페이지에 대한 취약점 점검, 디도스(DDoS) 사이버대피소 적용 등의 긴급 기술지원을 실시하였다
□ 미래부는 유사피해를 방지하기 위해 커뮤니티 관련업체에게 취약점 점검․보안조치를 하도록 요청하였으며,
o 앞으로도 사이버공격에 신속히 대응하기 위하여 방통위․경찰 등 관계기관과 긴밀히 협력하여 나갈 계획임을 밝혔다. 끝.
※ 방통위는 개인정보 보호조치 위반 관련사항에 대해서는 ‘정보통신망이용촉진및정보보호에관한법률’에 따라 조치할 예정임