[김국배기자] 지난 9월 11일 발생한 인터넷 커뮤니티 '뽐뿌' 홈페이지 침해사고는 기초적인 해킹수법에 의한 것으로 최종 결론 났다. 196만명의 회원정보를 유출한 뽐뿌에 대한 제재는 오는 11월 중순 이후 이뤄질 것으로 보인다.
20일 민관합동조사단은 해킹방법 및 사고원인 등에 대한 조사결과를 발표하며 "뽐뿌 홈페이지에는 비정상적인 DB 질의에 대한 검증절차가 없어 SQL 인젝션 공격에 취약한 웹페이지가 존재했다"고 밝혔다.
미래창조과학부는 지난 9월 12일 사고조사 분석을 위해 미래부 공무원과 민간 전문가로 구성한 민관 합동조사단을 꾸린 바 있다.
SQL 인젝션은 데이터베이스(DB)에 대한 질의값(SQL 구문)을 조작해 정상적인 자료 이외에 해커가 원하는 자료까지 DB로부터 유출할 수 있는 공격 기법으로 기초적인 해킹 수법에 속한다.
조사단이 뽐뿌에 남아있는 약 10만건의 웹서버 로그와 약 2천890만건의 개인정보 데이터베이스(DB) 로그 등을 분석한 결과 해커는 홈페이지 구조 및 취약점을 파악하고 SQL 인젝션에 취약한 웹페이지를 확인한 후 이를 통해 개인정보를 탈취하는 3단계를 거쳤다.
방송통신위원회는 개인정보 보호조치 위반 관련 사항에 대해선 ‘정보통신망이용촉진및정보보호에관한법률’에 따라 조치할 예정이다.
방통위 관계자는 "이번 조사결과를 뽐뿌 측에 전달할 예정"이라며 "지금으로선 정통망법 28조에 의거, 3년 평균 매출액의 3% 과징금과 3천만원 이하의 과태료 부과가 예상된다"고 말했다.
미래부는 유사 피해를 방지하기 위해 커뮤니티 관련업체에 취약점 점검 및 보안조치를 요청했다. 미래부 관계자는 "앞으로도 사이버공격에 신속히 대응하기 위해 방통위, 경찰 등 관계기관과 긴밀히 협력해 나갈 계획"이라고 전했다.
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기