국내 대형 온라인 커뮤니티 뽐뿌가 해킹되어 개인정보 190만여건이 무더기로 유출됐다. 11일 오후 뽐뿌를 통해 첫 공지된 이후 미래창조과학부와 방송통신위원회가 조사에 착수한 상황이다. 하지만 이 과정에서 뽐뿌 운영진이 어설픈 대응을 비롯해 미흡한 후속조치를 보여줘 네티즌의 십자포화를 맞고 있다. 확인되지 않는 루머도 퍼지는 상황이다.

뽐뿌에 따르면 이번에 유출된 회원정보는 ID와 비밀번호, 생년월일, 메일주소 등이다. 주민등록번호는 수집하지 않기 때문에 유출되지 않았다. 이에 뽐뿌는 11일 오후 9시 30분 취약점을 보완하고 한국인터넷진흥원에 피해 사실을 신고했다. 최근 6주간 접속하지 않은 회원들의 비밀번호는 임의로 변경하고 나머지는 공지메일을 통해 비밀번호 변경을 권유했다. 이어 12일에는 민관 합동조사단과 방통위가 동시에 조사에 착수했다.

▲ 출처=뽐뿌

분노, 또 분노
네티즌의 분노는 극에 달하고 있다. 워낙 많은 사이트가 해킹에 뚫리는 상황에서 이번 일을 사상초유의 사태라 말하기는 어렵지만, 뽐뿌 운영진이 보여준 '한심한 작태'는 뜨거운 화두로 부상하고 있다.

먼저 이번 해킹 공격수법이 가장 기초적인 기술이라는 점에 주목할 필요가 있다. SQL 인젝션(Injection)이다. 어나미너스가 애용하는 방식으로 유명하며, ID와 비밀번호에 비정상적 문자인 구조화 질의어(structured query language) 명령어를 입력해 서버를 제어하는 한편 데이터베이스를 확보하는 기술이다. 문제는 이를 방화벽 등으로 사용자 입력을 필터링하면 쉽게 막을 수 있다는 점이다. 엄청난 회원 숫자를 자랑하는 국내 최대 커뮤니티가 안전한 코딩 및 취약점 탐색 도구 등을 통해 쉽게 걸러낼 수 있는 초보적인 기술에 당한 셈이다.

이번 해킹이 예견된 일이었다는 말도 나온다. 뽐뿌 운영진은 부정하고 있지만, 3주 전인 8월 19일 있었던 이상한 일 때문이다. 당시 뽐뿌 사이트에는 다수의 계정을 이용한 의심스러운 게시물이 대거 작성됐다. 이후 계정을 무단으로 사용한 이용자가 '나는 500개의 계정을 가지고 있다'고 주장하는 상황이 벌어졌다. 당장 뽐뿌가 해킹된 것 아니냐는 말이 나왔다.

하지만 뽐뿌 운영진은 '주민등록번호를 수집하지 않는다'는 점 등을 이유로 이러한 계정 탈취가 자사에서 이뤄지지 않았다고 발표했다. 그러나 지난 11일 190만명에 달하는 회원들의 개인정보가 탈취된 점과 3주전 미심쩍인 일은 자연스럽게 연결된다는 점이 업계의 주장이다. 이와 관련해 뽐뿌 운영진은 이번 해킹이 3주전 사태와 무관하다는 입장을 반복하다가 논란이 커지자 연관성 확인 조사를 요청한 것으로 확인됐다.

▲ 한 이용자가 남긴 코멘트. 출처=뽐뿌

2차피해가 우려된다
이번 사태를 통해 뽐뿌는 돌이킬 수 없는 타격을 입을 전망이다. 먼저 기본적인 해킹에도 무방비로 당했다는 점과, 이후 행해진 후속조치도 직무유기에 가까웠기 때문이다. 만약 3주전 계정 탈취가 이번 해킹과 관련이 있다는 것이 밝혀지면 당장 매가톤급 후폭풍이 예상된다.

여기에 안일한 보안의식과 불리한 게시물을 검열하는 무자비한 정책에 대한 비판도 나오고 있다. 일각에서는 뽐뿌 운영진이 라이벌 사이트를 해킹해달라고 해커에게 의뢰했으나 이에 대한 보상이 제대로 이뤄지지 않았고, 이에 분노한 해커가 뽐뿌를 해킹했다는 낭설까지 떠도는 상황이다. 이 지점에서 뽐뿌는 '사실무근'이라는 점을 명확히 밝혔다.

현재 뽐뿌는 모든 문제를 인지하고 인정한 상태에서, 사태해결을 위해 최선을 다하겠다고 나선 상태다. 그러나 이번 사태는 그리 간단하게 종료될 것으로 보이지 않는다. 일단 뽐뿌는 가입자의 주민등록번호를 수집하지 않았기 때문에 피해가 제한적일 것이라고 밝히고 있는데, 이는 사실이 아닐 가능성이 높다. 회원가입시 주민등록번호를 기입하지는 않지만 뽐뿌는 스마트폰 커뮤니티다. 장터를 통해 민감한 개인정보가 오가고 있으며 다양한 거래가 이뤄진다. 이러한 정보가 유출되면 피해규모는 엄청나게 커질 전망이다.

업계 일각에서 3주전 '이상한 일'이 사실상 뽐뿌의 주민등록번호 탈취증거로 보는 이유다. 익명을 밝힌 한 프로그래머는 "뽐뿌의 특성상 민감한 개인정보가 오갔으며, 이를 해킹한 해커가 전체 가입자의 일부인 '거래자'들의 정보를 확보했을 가능성이 있다"며 "3주전 등장한 500개의 계정을 전수조사해 이들이 실제 거래를 한 거래자인지 확인하고, 주민등록번호 탈취 가능성도 열어둔 상태에서 이미 다른루트로 주민등록번호가 많이 탈취됐다는 전제가 필요하다. 2차, 3차 피해를 막아야 한다"고 강조했다.

이번 해킹사태를 두고 뽐뿌가 주민등록번호는 해킹되지 않았다고 강조하지만, 이미 많은 개인정보가 소위 '털린' 상태에서 이러한 변명은 실제적인 문제해결에 의미가 없다는 뜻이다. 물론 주민등록번호가 유출됐을 가능성도 열어두어야 한다는 뜻이다.

지난해 초 크라우드펀딩 업체 킥스타터의 개인정보가 유출된 바 있었다. 하지만 당시 킥스타터는 투명하고 공정한 일처리로 단시간에 이용자들의 마음을 사로잡았다. 하지만 뽐뿌 운영진은 이번 문제를 해결할 의지도 없고, 그럴 능력도 없어 보인다는 푸념이 나오고 있다. 초보적인 기술에 뚫리는 보안과 이후 보여준 불거진 의혹때문이다.

현재 뽐뿌 게시판에는 '뽐뿌에 가입했다는 죄'로 다른 사이트 ID와 비밀번호를 모두 바꿔야 하는 네티즌의 성토가 이어지고 있다. 동시에 이들은 '죄송하다'는 말만 되풀이 하며 실제적인 후속조치에는 미흡한 뽐뿌를 강하게 질타하고 있다. 일각에서는 합당한 보상이 선행되어야 하는 것 아니냐는 말도 나오고 있다. 천문학적인 배상소송이 이뤄지지 말라는 법도 없다.

뽐뿌 이용자들은 "가성비의 뽐뿌같은 소리하더니 돈말 밝히다고 골로갔네" 라던가 "회원이 키워낸 뽐뿌를 운영진이 망치고 있다"는 냉소를 흘리고 있다.

한편 일부 이용자들 사이에서 안드로이드 스마트폰으로 뽐뿌에 접속해 PC버전 화면에서 회원정보에 접근할 경우, 악성앱 설치파일이 자동으로 디운로드된다는 말이 나오고 있다. 물론 100% 악성활동을 한다는 보장은 없지만, 피싱이나 파밍등의 우려도 제기된다. 12일 뽐뿌 운영진은 이러한 사실을 공지로 알리기도 했다.