뽐뿌 개인정보 해킹 사건

2015년 9월 11일 오후 3시 경, 뽐뿌 내 자유게시판을 시작으로 아이디와 비밀번호가 털린 것 같다는 개인정보 해킹 소문이 돌았다. [[1]] 해킹범으로 추정되는 사람이 자유게시판에 로그인 정보를 유출 하면서 사건은 더욱 증폭되었다. [[2]] 더구나 해킹 인증은 훨씬 이전부터 계속되었다는 글도 올라왔다.[[3]] 오후 4시 30분 경, 관리자는 '계정 탈취 시도'는 [[4]], 개인정보 유출여부의 은닉과 사과의 부재 때문에 유저들의 원성을 샀다. 또한 뽐뿌의 개인정보 암호화가 취약하다, [해킹범 사이에 거래가 있었다]는 의혹이 제기되고 있다. 또 모바일로 뽐뿌를 접속하면 'hotvideo.apk'라는 어플이 받아지는 심각한 버그가 발생하였다. [[5]] 이와 관련해서 뽐뿌 관리자는 9월 11일 5시 19분, 해킹 의뢰는 유언비어이며, 해킹에 관련된 조사와 탐지작업을 진행하고 있다고 밝혔다. 기사화까지 되었다. [[6]] [[7]]

동일 밤 10시경 올라온 [[8]]에 의하면 "모든 회원들의 ID, 암호화된 password, 생년월일,E-mail, 뽐뿌닉네임, 암호화된 장터password,가입일, 회원점수"가 유출되었다고 하고 암호화된 패스워드 역시 "단방향 암호처리가 진행되었으나, 암호화 알고리즘의 취약점을 이용하여 단순한 비밀번호를 복호화한 것으로"라고 공지글 하단에 기술하였는데 이에 대한 해설은 아랫 문단 참조. 뽐뿌 관리자가 공식적으로 해킹을 인정하자, 유저들은 멘붕--핵의 화염--에 휩싸였다. 뽐뿌 게시판은 운영자에 대한 비판과, 이제 뽐뿌 망한다라는 글이나 예전의 스르륵 사태를 본다는 글들이 게시판을 점령하고 있는 중이다.

9월 12일 오후 5시 경, 관리자는 '해킹 사건 관련 경과 및 대응조치사항'을 공지했다. [[9]] 경찰과 KISA등의 기관들과 접촉해 대응을 하고 있다고 밝혔다. 또한, 보안상 논란이 되고 있는 SQL Injection 관련 문제는 해결이 되었다고 밝혔다.[* 하지만 모든 DB 작업에 대해서 날쿼리를 날리는 제로보드 4 코드베이스의 특성상 알려지지 않은 SQL 인젝션 취약점이 더 존재할 가능성도 충분.] 하지만 공지 전에 파다하게 퍼진 '뽐뿌 관리자 해킹 오더설'[* 뽐뿌 관리자가 타 사이트를 해킹하라고 해커에게 주문했으나, 뽐뿌 관리자가 약속된 돈을 주지 않아 해커가 뽐뿌의 DB를 뿌렸다는 설. [[10]] [[11]] [[12]] ]에 대해서는 확답을 주지 않았던 부분과 소 잃고 외양간 고치는 뽐뿌의 행동, 그리고 관리자의 의견과 반하는 게시물을 일방적으로 삭제하는 것에 대해 유저들의 비난이 거셌다. 한편 자신의 게시글과 댓글을 일괄적으로 삭제해 주는 프로그램도 개발 되었다. [[13]] [* 현재는 관리자의 --정확하고 신속한-- 대응으로 막힌 상태이다.]

2015년 9월 16일, 뽐뿌 고대성 대표는 이번 개인정보 해킹 사건 관련으로 회원들에게 사죄했지만 세부적인 대응책에 대해서는 언급하지 않아 회원들의 분노는 극에 달했다. [[14]]

오래된 사이트 구조와 부실한 암호화

해킹에는 SQL injection 기법이 사용되었다고 하며 뽐뿌는 개발 중단된지 오래된 제로보드 4 버전을 기반으로 하고 있기 때문에 보안문제가 취약했다고 한다. 또한 패스워드는 MD5를 사용하여 단방향 암호화[* 사실 해쉬함수를 사용하는 방식은 암호화라고 명명하지 않고, 암호화라고 부를수도 없다. 해쉬함수는 말그대로 단방향 난독화 함수이기 때문에 복호화가 불가능하기 때문. 따라서 운영진의 비밀번호 복호화 운운하면서 변명하는건 웹사이트 운영과 개인정보 보호에 대해 기초적인 상식조차 없다고 보면된다. ]를 해서 저장했다고 하는데[* 제로보드의 기본 패스워드 암호화는 MD5가 아니다. 뽐뿌에서 자체적으로 바꾼 것으로 추정된다. 제로보드는 MySQL에 있는 password 함수를 이용하는데, 문제는 제로보드가 너무 오래되다보니 MySQL 4.1 이전 버전의 암호화를 사용하고 있다. 이 물건은 암호화 문자열 길이가 16자밖에 안 되기 때문에 MD5보다 더 취약한 물건이고, MySQL도 이 문제점을 인식해서 4.1 버전부터 password 함수의 암호화 방식을 바꿔서 40자의 문자열이 생성되도록 바꾸었고 기존 암호화는 old_password 함수로 바꾸었다. 국내 호스팅을 보면 euc-kr 호스팅의 MySQL 버전이 4.0대에서 정지되어 있는 것을 볼 수 있는데 이 문제 때문.] 문제는 MD5 항목을 보면 알겠지만 오래전에 해시 충돌을 단시간 내에 찾아내는 알고리즘이 발견되어 암호화 용도로는 물론, 원문의 무결성 검사용으로도 사용을 권장하지 않는 알고리즘이다. 일반적으로 단방향 암호화된 패스워드가 유출된 것 자체만으로는 원래의 패스워드로 복호화가 불가능하지만 MD5처럼 단시간 내에 해시 충돌을 찾아낼 수 있는 취약점이 있다면 같은 암호로 인식하는[* 단방향 암호화는 원래의 문자열로 복호화가 불가능하므로 패스워드를 비교할때는 입력받은 패스워드를 단방향 암호화하여 암호화하여 저장한 원래의 패스워드와 비교하여 같은지를 대조하는 것이다. 그런데 해시충돌을 찾아낼 수 있다면 원래의 문자열과는 다르지만 단방향 암호화했을때 같은 문자열로 변환되는 문자열을 만들어 낼 수 있게 된다. 그리고 이 문자열을 패스워드에 넣으면 단방향 암호화를 거친 후의 문자열은 원래의 패스워드와 동일한 것이 되므로 패스워드가 뚫리게 된다.] 다른 문자열을 만들어낼 수 있어 평문 패스워드가 뚫린것이나 크게 다를바가 없는 상황이 된다. --심지어 SQL Injection기법은 시중에 나와있는 해킹책만 봐도 어떻게 하는지 나와있다. 당장 나무위키 항목에 있는대로만 조금씩 바꿔서 해봐도 된다--

다만, 아무리 허접한 MD5라고 해도 단방향 암호화이기 때문에 이론적으로는 평문 패스워드를 복호화 할 수는 없지만 실제로 뽐뿌와 같은 패스워드를 사용한 타 사이트들이 해킹당한 사용자의 피해사례가 자유게시판에 올라오고 있는 것으로 보아 레인보우 테이블[* 평문 문자열과 이 문자열을 단방향 암호화하여 변환한 해시값을 저장한 목록을 지니고 있는 일종의 사전이다. 비밀번호로 이 사전 안에 들어있는 단어를 사용했다면 해시값을 안다면 평문도 검색하는 것이 가능하다. 이런 기법이 있기 때문에 비밀번호에 대소문자를 섞고 숫자나 특수문자 같은 것을 넣으라고 하는 것.] 같은 것을 이용하여 역으로 평문 패스워드를 추출해내 해킹을 시도한 것이 아닌가 하고 추정된다. 레인보우 테이블로 평문을 역추적하는 것을 방지하기 위해 SALT[* 패스워드를 단방향 암호화 할 때 서버측에서 원래의 평문에 임의의 문자열을 덧붙여 암호화를 하는 기법이다. 이렇게 되면 레인보우 테이블을 가지고 평문을 역추적하는것이 훨씬 어려워진다.]라는 기법을 사용하는데, 정말로 레인보우 테이블로 털렸다면 뽐뿌측에서 패스워드를 암호화 할때 허술한 MD5를 쓴것으로 부족하여 SALT도 안붙였다는 얘기라서 여러모로 답이 없어진다. 일단 유저들 사이에서는 붙였다 안붙였다 설왕설래가 오가고 있는 모양.

악성 애플리케이션

더욱 문제는 모바일 사이트 자체에 [[15]]이 삽입[* "•.apk 파일이 내려 받아지는 문제는 이곳의 문제도, 뽐뿌의 문제도 아닙니다, 광고 배너에 문제가 있습니다. 이 배너를 게재한 다른 사이트도 동일한 증상이 일어납니다." 라고 주장하는 사람도 있다. [[16]] ]된건지 hotvideo_0910_3.apk 라는 악성 앱이 자동으로 다운받아지는데, 한 유저가 분석 결과, 설치된 apk 파일은 휴대폰의 모든 정보를 중국 쪽으로 발송한다고한다. 삭제해도 계속 깔리기 때문에 팩토리 리셋을 권고한다고 한다. [[17]] [[18]] [[19]] 이 악성앱의 2차 분석결과가 올라왔다.[[20]] Download 폴더가 더러워지기 싫다면 폰으로 접속하지 않거나, PC버전을 이용해야 한다. 9월 12일, 관리자는 apk 파일이 다운받아지는 상황을 [[21]] 하지만 9월 13일 오전 9시까지도 문제가 해결되지 않았다. [[22]] 운영자의 안일하고 늦은 대처로 이미 상당수 유저가 피해를 보고 있다. [[23]] 페이스북과 트위터로 위장한 악성앱이 일주일 전부터 돈다는 말도 있다. [[24]]

파편화된 구조적 한계

포럼별로 활동 인원이 파편화된 뽐뿌의 구조적 한계도 자정작용을 어렵게 하고있다. PC환경의 메인페이지를 제외하고는 운영진 차원의 안내 팝업이 없었고, 포럼 단위로 전혀 다른 분위기로 운영되는 뽐뿌 특성상 특정 포럼만 이용하는 회원들은 훨씬 뒤늦은 시점에 언론이나 다른 사이트를 통해서 해킹상황을 알게되는 경우도 많았다. 더군다나 이를 막기 위해 각 포럼과 게시판에 해킹안내 글을 올리던 회원은 뽐뿌의 운영원칙을 위배했다며 레벨 강등 조치를 당하는 등[[25]] 운영진의 해킹피해 안내가 소극적인 점이 추가 피해를 유발할 가능성이 크다. 특히 뽐뿌 유저 중 해외직구를 하는 유저는 2, 3차 피해가 생길 가능성이 크다. 한 유저가 올린 게시물에 따르면, 뽐뿌 가입 시 기입한 이메일과 암호가 아마존 계정이 동일 하면, 등록된 신용카드로 아마존에서 결제가 가능하다고 한다.[* 아마존은 물론이고 구글 계정이나, 페이팔 계정도 확인을 해야 한다고 한다. ] 이 때문에 해외뽐뿌 유저들은 slickdeals, dealigg, dealsucker, deals2buy, techbargains 등의 핫딜 공유 사이트를 사용하는게 좋다고 한다. [[26]] --하지만 해외뽐뿌나 해외포럼의 글 리젠율은 떨어지지 않았다 카더라.--[* 뽐뿌게시판 자체는 그나마 대체재가 있으나, 해외뽐뿌는 대체재가 거의 없다. 그 때문에 뽐뿌게시판은 풍자적 요소가 담긴 글들이 주로 올라오는 반면, 해외뽐뿌는 평소와 다름없는 글들이 올라오고 있다.]

XSS 공격 취약

2015년 9월 16일, XSS 공격이 가능하다는 점이 발견되었다. [* 게시물에 접속하면 강제 팝업창이 뜬다. 마음만 먹으면 충분히 악용할 여지가 있다. ] 게시글에 따르면, 수정을 하지 않을 경우 악성코드도 배포, 실행될 수 있다고 한다.[* 예로 XSS 취약점을 이용해 로그인한 회원의 쿠키 정보를 해커의 서버로 넘겨버리면 해커는 회원의 아이디, 비밀번호를 전혀 모르는데도 해당 회원의 계정으로 로그인한 것처럼 속일 수 있다. 이는 관리자도 당연히 포함된다.] [[27]]계속된 XSS 실험으로 임시 조치로 HTML 사용 자체를 막아놨다. --겸사겸사 탈퇴 링크도 같이 [[28]]-- 덕분에 뽐뿌 이미지 업로드 기능으로 첨부된 이미지도 나오지 않는 아이러니한 상황이 펼쳐졌다.

KISA 보안인증 요구 두 차례 무시

미래창조과학방송통신위원회 국정감사에서 뽐뿌는 정보보호관리체계 인증 대상임에도 불구하고, 한국인터넷진흥원 측이 친절하게 두 차례 공문을 통해 안내를 했지만 이를 대 놓고 무시한 것이 확인되었다. 이에 회원들은 돈이 아까워서 보안에 대한 투자를 하지 않았냐고 의혹이 나오고 있다. [[29]]

다른 사이트에 아이디 보호조치가 걸리거나 비밀번호 변경 이메일이 오는 등의 피해상황이 생기기 시작했다.

[아이디 보호조치] [[30]] [잠김] [[31]] [로그인 실패] [[32]] [* 대다수의 사이트가 아이핀으로 가입되고 비밀번호 찾기가 가능한데, 아이핀이 해킹당한다는 건 모든 사이트가 털릴 수 있는 진짜로 위험한 상황이다.] [해킹] [[33]] [해킹 시도] [[34]]

--혼돈! 파괴! 망가!-- [[35]]

http://i.imgur.com/Vy61Su0.png 뽐뿌게시판 HOT 게시물 근황. 망했어요 --그 와중에 검열삭제--

개인정보 해킹 사건이 터지고나서 뽐뿌게시판을 비롯 전 게시판에 항의성, 조롱성 글이 족족 올라오고 있다. 뽐뿌게시판[* '저렴한 가격과 좋은 품질을 가진 제품의 구입정보를 공유하는' 게시판. 즉 가성비 좋은 제품의 공유 공간. 제품을 파는 곳이 아닌, 제품의 구입정보(딜)을 공유 하는 곳이다. 착각 하지 말자.]에서는 해킹 관련 서적부터 시작해서 [Policy Center 기업용], ['병신과 머저리'], [[36]], [탈곡기], [[37]]이 올라오는 등, 해킹 사건을 풍자하거나 운영자를 은유적으로 비판하는 블랙 코미디가 일어났다.[* [[38]] [[39]] [[40]] [[41]] [[42]] --자유게시판이 아닙니다. 뽐뿌게시판입니다.-- --위아더월드-- ] 이러한 혼란속에서 속칭'업자'로 불리는 양반들은 물건을 팔기위해 고군분투 하고 있으나, 뽐뿌 유저들이 업자를 하루 이틀 본 게 아니라서(...) 죄다 다른의견을 먹고 버로우. 한편에서는 이같은 행동이, 뽐뿌게시판의 본질을 해칠 수도 있다는 우려도 나왔다. [* 실제로 업자가 아닌 헤비유저들이 올리는 걸로 보이는 글들도 죄다 전부 다른 의견을 먹고 있는 실정이다.] [[43]] 이러한 상황에 대해 운영진 측은 이유불문 삭제만 계속하고 있는 실정. ~~[개인정보는 중국 산둥성 팬더도 알고 있을듯] (...)~~ [해커가 더 신뢰된다다는 발언도 나왔다.] [[44]]

또한 자신의 글과 댓글을 일일히 삭제할 수 없게 뽐뿌 측에서는 서버 부하를 이유로 마이페이지에 있는 내가 쓴 글, 내가 쓴 댓글 조회를 막았다.[* [[45]] [[46]] ] 유저들은 내 글과 댓글을 내 마음대로 지우지도 못하냐며 울분을 터뜨렸다. 자신의 댓글과 글을 지울 사람은 [뽐뿌 - 반자동 뽐펑이--][* 현재 운영진이 반자동 뽐펑이를 막아 사용할 수 없게 되었다. ]를 이용하고, 또한 탈퇴 후 자신의 개인정보를 확실하게 지우고 싶다면 [방법]을 통하면 된다. 이젠 자신이 쓴 글을 자신이 볼 수 없게 되어버렸다(...) [[47]] ~~내 글을 내 글이라 말하지 못하고...!!~~ 개인 프로그램으로 자신의 글과 댓글을 삭제하는 회원이 늘어나자 2015년 9월 15일 저녁쯤, 게시글 검색을 통해 자신의 글과 댓글을 아이디/닉네임 검색을 통해 조회하는 방법도 서버 부하를 이유로 막았다. --서버도 10원 더 싼 걸 골랐을지도 모른다--

반감을 가진 회원들이 작성한 글 때문인지 사유를 알 수 없는 회원레벨 10 강등이 속출하고 있다. --숙청?-- 소통한다고 말은 하고 있으나 2015년 9월 23일 현재 글 전체 삭제 기능 추가 등의 조치는 시행되지 않았으며[* 해킹 사건 정리되고 나서 추가하겠다고 말은 하는데, 예전 사례를 보면 이번에도 아무런 조치없이 지나칠 가능성이 있다. ] 사이트를 비방하는 이용자를 임시 강등 조치하여 애꿎은 이용자가 글작성이 불가능해진 사례도 있다. --5공화국이냐고-- 사이트 비방을 하는 문장이 포함된 글을 작성하는 경우에도 글이 삭제되기도 했으며 [* 비방 문장을 빼고 글을 다시 쓰면 삭제되지 않은 사례가 존재함. ] 규정에 맞는 뽐뿌게시판의 글들도 삭제된 것이 꽤 된다. -- 서포터즈가 무슨 백골단도 아니고 --

이번 해킹사건으로 인해 한동안 평화를 유지했던 뽐뿌는 엄청난 타격을 받고 있다. 운영진 측이 올해 일어난 SLR클럽 사태의 영향을 받은건지 발빠르게 대응한 점은 좋으나 심기를 건드리는 글(?)에 대해선 규정위반 들먹이면서 일부 회원들을 레벨 10으로 강등하는 태도를 보면 SLR클럽사태처럼 가만히 지켜보자는 입장인 것 같다.. 한 회원이 SLR클럽 사태와 비교해 앞으로 뽐뿌의 사태와 비교하는 글을 올렸다. [[48]] 이 사건 이후로 타 사이트로 이동--전향--하는 유저들이 속출하고 있다. 가장 많은 유저들이 이동한 딴지일보, [유머] 등이 있다. --딴지일보는 늘어나는 서버비용에 부들부들하고 있다 카더라--[* http://cdn.ddanzi.com/201509-images/37481101.jpg?width=600px{{{#!html
}}} http://cdn.ddanzi.com/201509-images/37489596.jpg?width=600px ~~저런...~~][* 실제로 딴지일보는 SLR클럽 사건 당시, 난민들이 이주했을 때 서버를 증축했었다. [[49]]] 이다.

해킹 사건으로 뽐뿌를 떠나는 사람이 지속적으로 생기자, 뽐뿌의 대체재가 속속 생기고 있다. 딴지일보에서는 뽐뿌 형식의 포럼인 '펌프'--깨알 같은 뽐뿌 디스-- 개발을 시작한다고 밝혔다. [[50]] [[51]] SLR클럽 사건 당시 자게 서버만 증축한 것과 달리, 이번에는 해외뽐뿌 등의 정보성 게시판을 아예 신설한다고 한다. '보다 안전한 정보공유 커뮤니티'를 표방하는 [[52]]라는 사이트도 만들어졌다. --[[53]]이라는 곳도 만들어졌다.--[* 뽐뿌게시판의 최근 게시물들이 있는 것으로 보아, 뽐뿌 게시물들을 긁어오는 미러 사이트인 듯하다. ] 하지만 해킹 사건 이전에도 뽐뿌 아류작 사이트[* 대표적으로 뿌앙.] 들이 있었으나 거의 사라진 점을 생각해보면, 지속적인 운영과 관리가 관건인 듯 하다.

타 사이트로 망명을 떠난 유저들은 각 사이트들을 통해서 자기 목소리를 내기 시작했다. 본인글 열람을 막은 뽐뿌를 방통위에 민원으로 넣었다는 유저의 글 [[54]]과 각 게시판에 자발적으로 해킹안내글을 올렸다가 규정위반이라며 레벨10 강등 된 회원의 글[[55]] 이 올라왔다.

생각보다 몹시 빨리 진정되고 있다. 만들어진 여러 대체 사이트들 역시 보안이 미흡하거나, 인터페이스가 조잡하거나, 아직 사람 수가 적어서 제대로 된 정보 공유가 되지 않는 탓(...)에 기존 뽐뿌 회원들이 이동 할 생각을 않기 때문. 게다가, 우후죽순 생겨난 대체 사이트들의 운영진으로부터 적극적인 소통의 의지가 강하게 느껴지지 않고 단지 슫가락만 얹으려는 태도가 엿보여서 거부감을 느끼는 사람들이 많다. --대한민국에서 불매운동이 일어나지 못하는 이유--

• SQL 인젴션(SQL Injection)
• 크로쓰-싸이트 스크맆팅(Cross-site scripting, XSS)