“SQL 인젝션 공격 취약한 웹페이지 존재했다”
미래부 공무원과 민간 전문가로 꾸려진 민관 합동조사단이 침해사고의 원인을 조사·분석한 결과, 해커는 3단계에 걸친 홈페이지의 구조·취약점 파악 후 ‘SQL 인젝션’을 통해 회원 약 196만 명의 개인정보를 탈취한 것으로 조사됐다.
여기서 SQL 인젝션은 DB에 대한 질의값(SQL 구문)을 조작해 정상적인 자료 외에 해커가 받고 싶은 자료까지 DB로부터 유출해가는 사이버 공격 기법을 말한다.
미래부는 뽐뿌 홈페이지에 비정상적인 DB 질의에 대한 검증 절차가 없어 SQL 인젝션 공격에 취약한 웹페이지가 존재했다고 전했다. 또한, 개인정보 DB 서버 중 일부 서버에서만 로그를 저장하고 있었다고 설명했다.
미래부 관계자는 “공격당한 웹페이지는 당초 숫자만을 질의할 수 있도록 돼 있었는데 숫자 외에 ID, 생년월일, 이메일 주소 같은 개인정보를 질의하는 SQL 구문을 삽입해 실행할 수 있는 취약점이 있는 것으로 파악됐다”고 자세한 내막을 설명했다.
조사단은 뽐뿌에 남아 있는 약 10만건의 웹 서버 로그와 약 2천890만건의 개인정보 DB 로그 등을 분석해 이같은 해킹 방법과 보안 취약점 등을 확인했으며, 이에 앞서 추가 해킹 피해를 방지하기 위해 뽐뿌 홈페이지에 대한 취약점 점검, 디도스(DDos·분산서비스 거부) 사이버대피소 적용 등의 긴급 기술지원도 했다고 밝혔다.
이에 대해 미래부 관계자는 “해커에 대한 수사와 뽐뿌가 개인정보 보호 조치를 미흡하게 했는지 등의 문제는 경찰과 방송통신위원회에서 담당하게 될 것”이라고 말했다.
한편 미래부는 이번 사례 이후 유사피해 방지를 위해 비슷한 타 커뮤니티 관련업체에도 취약점 점검·보안조치를 실시하도록 요청했다. [시사포커스 / 김유빈 기자]
저작권자 © 시사포커스 무단전재 및 재배포 금지
