[왁자디클]'뽐뿌'와 해킹에 대처하는 자세

온라인 커뮤니티 '뽐뿌'의 홈페이지가 해킹을 당하면서 운영진에 대한 회원들의 불만이 폭발하고 있다. 막을 수 있었던 해킹에 제대로 대처하지 못한데다가 190만여건의 개인정보가 빠져나간 뒤에도 회원들과 소통이 이뤄지지 않고 있다는 것이다. 이 여파로 '뽐뿌 게시판'은 운영진을 성토하고 조롱하는 게시물 때문에 홍역을 앓고 있다.

뽐뿌는 휴대전화 거래 정보가 주로 공유되는 곳으로 알려져 있지만 이밖에도 다양한 주제의 글들이 게재되는 온라인 커뮤니티다. 해킹 시점은 11일 오전 1시였다고 한다. 운영진은 해킹이 발생한 뒤 20시간이 지나서야 해킹 사실을 인정하고 사과문을 올렸다.

포털사이트부터 금융회사까지 그동안 해킹을 통해 개인정보가 유출된 사례가 계속 이어졌고 그 규모도 수천만 건에 달해 전 국민의 개인정보가 이미 중국 암시장에서 거래되고 있을 것이라는 자조 섞인 말들도 나돌고 있는 상황이다. 그동안의 규모와 비교하면 뽐뿌의 200만 건이 채 안 되는 개인정보 유출이 대수롭지 않게 보이기까지 한다.

그럼에도 뽐뿌 해킹을 들여다봐야 하는 이유는 이번 사태를 둘러싼 정황이 다른 사례들과 사뭇 다르기 때문이다. 해킹은 3주 전 사실상 예고됐다고 한다. 지난달 19일 여러 계정을 사용해 같은 글이 계속해서 게재됐다. 계정이 누군가에 의해 무단으로 사용된 것인데 일부 게시물에서는 몇몇 계정의 아이디와 비밀번호를 공개하고 이 같은 정보를 500여건 가지고 있다는 주장도 담겨 있었다.

이에 운영진은 노출된 정보와 뽐뿌의 아이디, 비밀번호가 일치하지 않는 경우가 있고 이메일 정보가 다른 계정도 있으며 뽐뿌는 주민등록번호를 수집하지 않는다는 이유 등을 들어 다른 사이트에서 이 정보들이 유출됐을 것이라고 결론을 내렸다. 다른 곳에서 해킹한 회원정보 중 뽐뿌에서도 같은 것을 쓰는 계정에 접근해 글을 썼다는 것이었다.

이 해명이 사실이라고 해도 운영진은 해킹을 당하지 않았다는 것을 강조하느라 정작 해킹의 표적이 될 수 있다는 사실을 간과한 것으로 보인다. 해킹 의혹이 불거졌을 때 필요한 보안 조치를 강화했다면 막을 수 있었던 기초적인 해킹 수법에 사이트가 뚫린 것은 이 때문이다. 이번 해킹에 사용된 공격 수법은 SQL 인젝션(Injection)이다. 보안 업계에 따르면 웹 응용 프로그램에 강제로 구조화 조회 언어(SQL) 구문을 삽입해 내부 데이터베이스(DB) 서버의 정보를 유출하는 전통적인 해킹 수법이라고 한다.

해킹을 당한 뒤에도 제대로 된 재발 방지 대책을 내놓지 않고 피해 보상 등에 대해서는 입을 닫고 있는 것도 회원들의 공분을 사고 있다. 2차 피해가 뒤따를 수 있는데도 내놓는다는 대책이 고작 비밀번호를 서둘러 바꾸라는 것뿐이다. 이번 해킹으로 유출된 것은 개인정보만이 아니다. 운영진에 대한, 커뮤니티에 대한 신뢰도 빠져나간 것으로 보인다.

김철현 기자 kch@asiae.co.kr
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>