본문 바로가기 메인메뉴 바로가기
2020정부업무보고 탑 배너

img-news

콘텐츠 영역

뽐뿌 웹사이트 침해사고 중간조사 결과발표

미래창조과학부 2015.10.21

뽐뿌 홈페이지 침해사고 조사 결과 발표

- 웹 취약점을 악용한 데이터베이스 공격으로 정보 유출 발생 -

 

미래창조과학부(장관 최양희)는 지난 9.11일 발생한 뽐뿌 홈페이지 침해사고(약 196만명의 회원정보 유출) 관련 해킹방법, 사고원인 등에 대한 ‘민관합동조사단(이하 조사단)*’의 조사 결과를 발표하였다.

* 사고조사 분석을 위해 미래부 공무원 및 민간 전문가로 구성·운영(9.12~)

 

조사단은 (주)뽐뿌 커뮤니케이션(이하 뽐뿌)에 남아있는 웹 서버 로그(약10만건)와 개인정보 데이터베이스(DB) 로그(약2,890만건) 등을 분석하여 해킹 방법정보탈취에 악용된 보안취약점 등을 확인하였다.

 

o 해커는 ①홈페이지 구조 및 취약점을 파악하고 ②SQL 인젝션*에 취약한 웹 페이지 확인한 후 ③SQL 인젝션을 통한 개인정보를 탈취하는 등 3단계로 진행하였다.

* SQL(Structured Query Language) injection : 데이터베이스에 대한 질의 값(SQL 구문)을 조작하여 정상적인 자료 이외에 해커가 원하는 자료까지 데이터베이스로 부터 유출 가능한 공격기법

 

o 뽐뿌 홈페이지에는 비정상적인 DB 질의에 대한 검증절차가 없어 SQL 인젝션 공격에 취약한 웹페이지*가 존재하였으며, 개인정보 DB서버 중 일부 서버에서만 로그를 저장하고 있었다.

* 해당 웹페이지에는 숫자만을 입력받도록 되어 있었으나, 정상적인 숫자 외에 개인정보(ID, 생년월일, 이메일 등)를 질의하는 SQL구문 삽입·실행이 가능

 

미래부와 방통위는 침해사고 발생시에 초동대응팀을 가동하여 뽐뿌 사이트에서 개인정보 유출여부를 확인하고 해당 피해사실 및 이용자 조치방법 등을 이용자에게 통지토록 조치하였으며,

 

o 조사단은 추가적인 해킹피해를 방지하기 위하여 뽐뿌 홈페이지에 대한 취약점 점검, 디도스(DDoS) 사이버대피소 적용 등의 긴급 기술지원을 실시하였다

 

미래부는 유사피해를 방지하기 위해 커뮤니티 관련업체에게 취약점 점검보안조치를 하도록 요청하였으며,

 

o 앞으로도 사이버공격에 신속히 대응하기 위하여 방통위경찰 등 관계기관과 긴밀히 협력하여 나갈 계획임을 밝혔다. 끝.

 

방통위는 개인정보 보호조치 위반 관련사항에 대해서는 ‘정보통신망이용촉진및정보보호에관한법률’에 따라 조치할 예정임
 

"이 자료는 미래창조과학부의 보도자료를 전재하여 제공함을 알려드립니다."

텍스트 데이터는 공공누리 출처표시의 조건에 따라 자유이용이 가능합니다.
단, 사진, 이미지, 일러스트, 동영상 등의 일부 자료는 문화체육관광부가 저작권 전부를 갖고 있지 아니하므로, 자유롭게 이용하기 위해서는 반드시 해당 저작권자의 허락을 받으셔야 합니다.
공공누리가 부착되지 않은 자료는 담당자와 사전에 협의한 이후에 사용하여 주시기 바랍니다.

아~차!뉴스