2015년 8월 19일 오후, 쇼핑 정보 커뮤니티인 뽐뿌에 뽐뿌 회원들의 개인정보라며 아이디, 비밀번호, 주민등록번호, 이메일, 전화번호를 담은 엑셀 파일의 캡쳐본이 자유게시판에 올라온다.
한 사람이 여러 개의 뽐뿌 계정을 도용해 동일한 게시물을 올린 것으로 한국말이 어색하고 캡쳐 화면 속의 엑셀이 중국어 버전인 걸 봤을 때 조선족인 것으로 추정된다.
글쓴이는 500개의 뽐뿌 계정을 보유하고 있다고 주장했지만 뽐뿌 측은 그가 올린 목록에 뽐뿌에 없는 계정이 존재하고 이메일 정보가 다른데다 뽐뿌는 수집하지 않는 주민등록번호가 포함돼 있다는 점을 들어 타사이트의 회원 정보라고 반박했다.
글쓴이가 뽐뿌 계정을 도용할 수 있었던 이유에 대해서는 여러 사이트에서 같은 아이디와 비밀번호 조합을 쓰는 사람들의 아이디로 접속한 것이라 해명했다. 컴퓨터 프로그램으로 수천 개의 아이디와 비밀번호로 일일이 로그인해 보는 방법이다.
운영진의 해명에 대부분의 회원들은 수긍했고 사건은 일단락됐다. 하지만 제대로 된 사이트라면 잦은 로그인 실패시 바로 차단시키는 것이 정상이므로 뽐뿌의 해명이 사실이더라도 보안이 안습이라는 소리다.
9월 8일 아침, 아이디와 비밀번호 목록이 영자야 오빠 왔다(...)라는 제목으로 1차 해킹 사건 때처럼 뽐뿌에 올라왔으나 별 이슈가 되지 못 했다.
그리고 3일 후인 9월 11일 오후 3시, 자유게시판에 시작?이란 제목으로 아이디와 비밀번호 목록이 올라왔다. 1차, 2차 해킹 사건과는 달리 타사이트와 아이디를 공유하지 않은 계정으로 로그인을 시도했다는 증언이 나왔으며 안드로이드에서 뽐뿌를 접속하면 hotvideo.apk라는 악성파일이 자동으로 다운로드되는 현상이 발생했다.
오후 4시 30분, 운영진은 계정 탈취 시도가 있다면서 회원들에게 비밀번호를 변경해 줄 것을 요청한다. 사건 발생 21시간만인 밤 10시, 운영진은 공지글을 통해 해킹 사실을 인정하고 사과했다(...).
3차 해킹 사건은 9월 11일 새벽 1시 SQL 인젝션 공격이었던 것으로 드러났다. SQL 인젝션 공격이란 게시판 검색창에 데이터베이스 명령문을 직접 입력해 자료를 빼내는 원시적인 해킹 방법이다. 뽐뿌 같이 200만 명의 회원을 자랑하는 대형 커뮤니티가 이런 단순 무식한 해킹법에 뚫렸다는 게 개막장이다.
뽐뿌를 운영하는 주식회사 뽐뿌커뮤니케이션의 년 순이익이 2012년 기준 13억 원이라던데 보안에는 투자를 안 했나 보다(...).
이번 해킹으로 198만 명 회원 전원의 아이디, 닉네임, 암호화된 비밀번호, 생년원일, 이메일 주소, 가입일, 회원점수가 유출됐다.
대부분의 사이트는 보안을 위해 비밀번호를 암호화해 저장하므로 원래 비밀번호를 복원하기가 쉽지 않지 않다. 하지만 간단한 비밀번호는 복원이 가능해 해킹범이 사용한 계정 등 일부 계정들은 원래 비밀번호까지 털렸다. 이 때문에 뽐뿌 측은 타 사이트에 같은 아이디로 가입한 회원들에게 비밀번호를 변경할 것을 부탁했다(...). 민폐갑
해킹범은 게시판에 글을 올려 '뽐뿌 운영자의 사주로 타사이트를 해킹해 회원 정보를 넘겨 줬는데 대금의 30%만 받았다'고 주장하며 잔금을 주지 않을 경우 회원 정보 전체를 공개하겠다고 협박했다. 김사장 잔금 달라. 반면 뽐뿌 측은 해킹범의 주장을 전면 부인했다. 뽐뿌가 타사이트 회원 정보로 할 수 있는 게 별로 없기 때문에 해킹범의 주장이 사실일 가능성은 낮아 보인다.
일부 회원들은 운영진에게 과거 뽐뿌에서 제공했던 자신이 쓴 게시물과 댓글들을 일괄 삭제하는 기능을 복원해 줄 것을 요구했는데 뽐뿌를 탈퇴할 생각인 것으로 보인다. 실제로 사건 직후 뽐뿌를 탈퇴한 회원들도 있었다.
해킹 사건 후 구입 정보를 공유하는 뽐뿌게시판에는 서적에 관련된 정보가 급증했는데 책 제목들이 현재 뽐뿌 운영진의 상황을 말해준다.
<잊혀질 권리: 디지털 시대의 원형감옥, 당신은 자유로운가?>, <해킹 맛보기>, <CEO가 알아야 할 기업정보 보안의 기본> 같은 보안 관련 서적(...)이거나 <멋지게 사과하는 방법 80가지>, <우리 회사가 망하는 이유>, <병신과 머저리>(...) 같은 묘한 제목의 책들이었다.
오동나무관, 근조화환, 장례용 향초에 대한 정보들도 올라왔다(...).
국내에서 해킹은 워낙 비일비재한 일이고 사법부 또한 비즈니스 프렌들리다보니 뽐뿌 회원들이 집단 소송을 걸어봐야 승소할 가능성은 낮다. 하지만 뽐뿌의 보안 수준이 개막장이란 사실이 드러난 이상 회원 이탈은 불가피할 것으로 보인다. 근데 갈 데가 없다. 스스륵 아재들은 또 이사가냐.
'인터넷 떡밥' 카테고리의 다른 글
| 목원대 대학교수 '딸 결혼식 주차요원해라' 갑질 (6) | 2015.10.02 |
|---|---|
| '전두환 딸' 서경대 전효선 교수, 무더기 결석처리 (21) | 2015.10.01 |
| [동영상]인천 부평 커플 묻지마 폭행 사건 정리 (18) | 2015.09.26 |
| 충남대학교 농대 단톡방 똥군기.jpg (12) | 2015.09.24 |
| 오원춘 세트·고영욱 세트, 한양대 대학축제 주점 메뉴 (22) | 2015.09.23 |
| [동영상]전주 김삿갓, 신시가지 외제차·아우디 난동 (1) | 2015.09.06 |
| 홍혜걸 페이스북 '알몸 찍힌 소개팅녀 잘못 10%' 일침 (18) | 2015.09.03 |
| [동영상]양천구 월촌중학교 테러, 부탄가스 폭발 (16) | 2015.09.02 |
| 애슐리 매드슨 해킹 사건, 회원정보 유출, 자살 (15) | 2015.08.31 |
| 미국 생방송 중 총격, 기자 사망 사건 (5) | 2015.08.27 |