1. 개요
뽐뿌해킹사건 간략한 요약 아카이브
뽐뿌 해킹 피해자 집단 소송 카페
1.1. 진행 경과
2015년 9월 11일 오후 3시 경, 뽐뿌 내 자유게시판을 시작으로 아이디와 비밀번호가 털린 것 같다는 개인정보 해킹 소문이 돌았다. # 아카이브 해킹범으로 추정되는 사람이 자유게시판에 로그인 정보를 유출 하면서 사건은 더욱 증폭되었다. # 아카이브 더구나 해킹 인증은 훨씬 이전부터 계속되었다는 글도 올라왔다. # 오후 4시 30분 경, 관리자는 '계정 탈취 시도'는 시인했지만 아카이브, 개인정보 유출여부의 은닉과 사과의 부재 때문에 유저들의 원성을 샀다. 또한 뽐뿌의 개인정보 암호화가 취약하다, 뽐뿌와 해킹범 사이에 거래가 있었다는 의혹이 제기되고 있다. 또 모바일로 뽐뿌를 접속하면 'hotvideo.apk'라는 앱이 받아지는 심각한 버그가 발생하였다. # 아카이브 이와 관련해서 뽐뿌 관리자는 9월 11일 5시 19분, 해킹 의뢰는 유언비어이며, 해킹에 관련된 조사와 탐지작업을 진행하고 있다고 밝혔다. 기사화까지 되었다. # #동일 밤 10시경 올라온 공지 아카이브에 의하면 "모든 회원들의 ID, 암호화된 password, 생년월일,E-mail, 뽐뿌닉네임, 암호화된 장터password,가입일, 회원점수"가 유출되었다고 하고 암호화된 패스워드 역시 "단방향 암호처리가 진행되었으나, 암호화 알고리즘의 취약점을 이용하여 단순한 비밀번호를 복호화한 것으로"라고 공지글 하단에 기술하였는데 이에 대한 해설은 아랫 문단 참조. 뽐뿌 관리자가 공식적으로 해킹을 인정하자, 유저들은 멘붕
9월 12일 오후 5시 경, 관리자는 '해킹 사건 관련 경과 및 대응조치사항'을 공지했다. # 아카이브 경찰과 KISA등의 기관들과 접촉해 대응을 하고 있다고 밝혔다. 또한, 보안상 논란이 되고 있는 SQL injection 관련 문제는 해결이 되었다고 밝혔다.[2] 하지만 공지 전에 파다하게 퍼진 '뽐뿌 관리자 해킹 오더설'[3]에 대해서는 확답을 주지 않았던 부분과 소 잃고 외양간 고치는 뽐뿌의 행동, 그리고 관리자의 의견과 반하는 게시물을 일방적으로 삭제하는 것에 대해 유저들의 비난이 거셌다. 한편 자신의 게시글과 댓글을 일괄적으로 삭제해 주는 프로그램도 개발 되었다.
2015년 9월 16일, 뽐뿌 고대성 대표는 이번 개인정보 해킹 사건 관련으로 회원들에게 사죄했지만 세부적인 대응책에 대해서는 언급하지 않아 회원들의 분노는 극에 달했다. # 아카이브
2015년 9월 24일, 뽐뿌 측이 새 공지를 내놓으며 기존 공지사항들의 댓글 등을 통해서 약속했던 일괄 삭제 기능을 직접 만들지 않고 뽐뿌 유저가 만든 프로그램을 이용하라는 입장을 밝혔다. # 아카이브 개인정보를 다루는 기능을 가진 프로그램을 공인된 회사가 직접 다루지 않고, 추가적인 정보유출의 가능성이 있는 개별 프로그램을 사용하라는 것도 문제가 있는 인식이라는 지적이 많았다. 더군다나 해당 프로그램을 개발한 회원은 뽐뿌활동이 불가능한 레벨10으로 강등이 되었고, 사유를 묻는 다른 회원들의 질의에도 뽐뿌 운영진은 답변을 내놓지도 않고 추가적인 일괄삭제 기능에 대한 도입 입장도 밝히지 않고있는 상태.
2015년 10월 6일. 운영자는 '닭치고 잘해'라는 이름의 이벤트를 공지하며 해킹 이후 기능이 마비된 뽐뿌 게시판을 정상화하는데 기여한 회원들에게 주겠다며 치킨 300마리를 내걸었다. 대체 어디에서 나온 아이디어인지 알 수가 없는 상태. 회원들을 조롱하는게 아니냐는 항의가 빗발치자 슬그머니 "닭치고, 잘하겠습니다."라고 제목을 변경하고 선정기준도 "뽐뿌 회원님들에게 도움이 되는 정보성 게시물"로 변경했지만 이미 최초 공지는 캡쳐된 상황. # # 아카이브 또한, 활동이 없었던 아이디들로 자유게시판에 '1'이라는 제목의 글들이 올라오고 있다. 그동안 피드백 없이 묵묵부답이었던 운영자는 광속 삭제 중. 2차 해킹이 의심되고 있다.
같은 날 각 회원별 게시글, 코멘트를 검색하는 기능이 아무런 공지 없이 삭제되었다. 뽐뿌와 같이 장터거래가 활발하고 상품을 소개하는 게시판이 존재하는 사이트로서는 회원의 신용도를 판단하고, 상품링크를 올리는 회원이 판매를 통해 이득을 취하는 업자인지를 구별해 내는게 무엇보다도 중요한데 회원의 이득보다는 해킹 이후 지속적으로 회원들의 글과 코멘트가 삭제되는걸 막기 위한 운영진의 이득을 위한 삭제가 아니냐는 비판이 많았다. 홈페이지 보수능력이 없는 운영진이 한 일이 아니라 2차 해킹과 관련된 일이 아니냐는 의혹도 있었으나 10월 7일 한 회원이 홈페이지 소스를 분석해 운영진이 수정했음을 주석을 통해 확인했다. # 아카이브
2015년 10월 7일. 결국 닭치고 이벤트는 잠정 보류되었지만, 6일과 7일 오전까지 참여했던 회원들은 향후 혜택을 주겠다는 공지가 올라왔다.
2015년 10월 20일, 미래창조과학부는 "웹 취약점을 악용한 데이터 베이스(DB) 공격으로 정보 유출이 발생"하였다고 합동 조사 결과를 공식 발표했다. SQL 인젝션을 통해 총 196만명 가량의 정보가 유출되었다고 한다. #
2. 원인 및 문제점
2.1. 오래된 사이트 구조와 부실한 암호화
해킹에는 SQL injection 기법이 사용되었다고 하며 뽐뿌는 개발 중단된지 오래된 제로보드 4 버전을 기반으로 하고 있기 때문에 보안문제가 취약했다고 한다. 또한 패스워드는 MD5를 사용하여 단방향 암호화[5]를 해서 저장했다고 하는데[6] 문제는 MD5 항목을 보면 알겠지만 오래전인 2006년에 해시 충돌을 단시간 내에 찾아내는 알고리즘이 발견되어 암호화 용도로는 물론, 원문의 무결성 검사용으로도 사용을 권장하지 않는 알고리즘이다. 일반적으로 단방향 암호화된 패스워드가 유출된 것 자체만으로는 원래의 패스워드로 복호화가 불가능하지만 MD5처럼 단시간 내에 해시 충돌을 찾아낼 수 있는 취약점이 있다면 같은 암호로 인식하는[7] 다른 문자열을 만들어낼 수 있어 평문 패스워드가 뚫린것이나 크게 다를바가 없는 상황이 된다.다만, 아무리 허접한 MD5라고 해도 단방향 암호화이기 때문에 이론적으로는 평문 패스워드를 복호화 할 수는 없지만 실제로 뽐뿌와 같은 패스워드를 사용한 타 사이트들이 해킹당한 사용자의 피해사례가 자유게시판에 올라오고 있는 것으로 보아 레인보우 테이블[8] 같은 것을 이용하여 역으로 평문 패스워드를 추출해내 해킹을 시도한 것이 아닌가 하고 추정된다. 레인보우 테이블로 평문을 역추적하는 것을 방지하기 위해 salt(패스워드를 단방향 암호화 할 때 서버측에서 원래의 평문에 임의의 문자열을 덧붙여 암호화를 하는 기법이다. 이렇게 되면 레인보우 테이블을 가지고 평문을 역추적하는것이 훨씬 어려워진다.)라는 기법을 사용하는데, 정말로 레인보우 테이블로 털렸다면 뽐뿌측에서 패스워드를 암호화 할때 허술한 MD5를 쓴 것으로 부족하여 salt도 안 붙였다는 얘기라서 여러모로 답이 없어진다. 일단 유저들 사이에서는 붙였다 안붙였다 설왕설래가 오가고 있는 모양.
2.2. 악성 애플리케이션
모바일 사이트 자체에 악성앱이 삽입[9]된건지 hotvideo_0910_3.apk 라는 악성 앱이 자동으로 다운받아지는데, 한 유저가 분석 결과, 설치된 apk 파일은 휴대폰의 모든 정보를 중국 쪽으로 발송한다고한다. 삭제해도 계속 깔리기 때문에 팩토리 리셋을 권고한다고 한다. # 아카이브 # 아카이브 # 아카이브 이 악성앱의 2차 분석결과가 올라왔다. # Download 폴더가 더러워지기 싫다면 폰으로 접속하지 않거나, PC버전을 이용해야 한다. 9월 12일, 관리자는 apk 파일이 다운받아지는 상황을 시인했다. 아카이브 하지만 9월 13일 오전 9시까지도 문제가 해결되지 않았다. # 아카이브 운영자의 안일하고 늦은 대처로 이미 상당수 유저가 피해를 보고 있다. # 페이스북과 트위터로 위장한 악성앱이 일주일 전부터 돈다는 말도 있다. # 아카이브이후 마비노기 타임즈의 운영자가 해당 문제는 광고 네트워크의 문제라고 밝혔다.
2.3. 파편화된 구조적 한계
포럼별로 활동 인원이 파편화된 뽐뿌의 구조적 한계도 자정작용을 어렵게 하고있다.[10] PC환경의 메인페이지를 제외하고는 운영진 차원의 안내 팝업이 없었고, 포럼 단위로 전혀 다른 분위기로 운영되는 뽐뿌 특성상 특정 포럼만 이용하는 회원들은 훨씬 뒤늦은 시점에 언론이나 다른 사이트를 통해서 해킹상황을 알게되는 경우도 많았다. 더군다나 이를 막기 위해 각 포럼과 게시판에 해킹안내 글을 올리던 회원은 뽐뿌의 운영원칙을 위배했다며 레벨 강등 조치를 당하는 등 # 운영진의 해킹피해 안내가 소극적인 점이 추가 피해를 유발할 가능성이 크다. 특히 뽐뿌 유저 중 해외 직구를 하는 유저는 2, 3차 피해가 생길 가능성이 크다. 한 유저가 올린 게시물에 따르면, 뽐뿌 가입 시 기입한 이메일과 암호가 아마존닷컴 계정이 동일 하면, 등록된 신용카드로 아마존에서 결제가 가능하다고 한다.[11] 이 때문에 해외뽐뿌 유저들은 slickdeals, dealigg, dealsucker, deals2buy, techbargains 등의 핫딜 공유 사이트를 사용하는게 좋다고 한다. #2.4. XSS 공격 취약
2015년 9월 16일, XSS 공격이 가능하다는 점이 발견되었다. [13] 게시글에 따르면, 수정을 하지 않을 경우 악성코드도 배포, 실행될 수 있다고 한다.[14] # 아카이브 계속된 XSS 실험으로 임시 조치로 HTML 사용 자체를 막아놨다.2.5. KISA 보안인증 요구 두 차례 무시
미래창조과학방송통신위원회 국정감사에서 뽐뿌는 정보보호관리체계 인증 대상임에도 불구하고, 한국인터넷진흥원 측이 친절하게 공문을 통해 두 차례 안내를 했지만 무시한 것이 확인되었다. 이에 회원들은 돈이 아까워서 보안에 대한 투자를 하지 않았냐고 의혹이 나오고 있다. #3. 피해상황
다른 사이트에 아이디 보호조치가 걸리거나 비밀번호 변경 이메일이 오는 등의 피해상황이 생기기 시작했다.다음 아이디 보호조치 아카이브
멜론까지 해킹 아카이브
4. 회원들의 분노
당시 뽐뿌게시판 HOT 게시물 목록 |
개인정보 해킹 사건이 터지고나서 뽐뿌게시판을 비롯 전 게시판에 항의성, 조롱성 글이 족족 올라오고 있다. 뽐뿌게시판[17]에서는 해킹 관련 서적부터 시작해서 책 '병신과 머저리', 근조화환, 옥수수 탈곡기 아카이브, 빅엿이 올라오는 등, 해킹 사건을 풍자하거나 운영자를 은유적으로 비판하는 블랙 코미디가 일어났다.[18] 이러한 혼란속에서 속칭'업자'로 불리는 양반들은 물건을 팔기위해 고군분투 하고 있으나, 뽐뿌 유저들이 업자를 하루 이틀 본 게 아니라서(...) 죄다 다른의견을 먹고 버로우. 한편에서는 이같은 행동이, 뽐뿌게시판의 본질을 해칠 수도 있다는 우려도 나왔다. [19] # 이러한 상황에 대해 운영진 측은 이유불문 삭제만 계속하고 있는 실정.
오히려 해커가 더 신뢰된다다는 발언도 나왔다. 아카이브
운영진의 행태에 반감을 가진 회원들이 적극적으로 수익원 차단에 나서기도 했다. 뽐뿌게시판의 상품 링크 등 뽐뿌 내에서 링크를 클릭하게 되는 경우 해당 페이지에서 구매가 이루어지면 링크프라이스라는 업체를 통해 구매액의 1% 정도를 뽐뿌가 얻게 되는데 이를 우회하는 플러그인과 자바스크립트 등을 이용한 우회 링크를 게시하는 운동이 있었다. # 아카이브 또한 뽐뿌 내에 게시되어 있는 광고를 차단 하는 플러그인과 방법도 공유되었다. # 아카이브
또한 자신의 글과 댓글을 일일이 삭제할 수 없게 뽐뿌 측에서는 서버 부하를 이유로 마이페이지에 있는 내가 쓴 글, 내가 쓴 댓글 조회를 막았다.[20] 유저들은 내 글과 댓글을 내 마음대로 지우지도 못하냐며 울분을 터뜨렸다. 자신의 댓글과 글을 지울 사람은
반감을 가진 회원들이 작성한 글 때문인지 사유를 알 수 없는 회원레벨 10 강등이 속출하고 있다.
5. 사건여파
이번 해킹사건으로 인해 한동안 평화를 유지했던 뽐뿌는 엄청난 타격을 받고 있다. 운영진 측이 올해 일어난 SLR클럽 사태의 영향을 받은건지 발빠르게 대응한 점은 좋으나 심기를 건드리는 글(?)에 대해선 규정위반 들먹이면서 일부 회원들을 레벨 10으로 강등하는 태도를 보면 SLR클럽사태처럼 가만히 지켜보자는 입장인 것 같다.. 한 회원이 SLR클럽 사태와 비교해 앞으로 뽐뿌의 사태와 비교하는 글을 올렸다. # 아카이브 이 사건 이후로 타 사이트로 이동타 사이트로 망명을 떠난 유저들은 각 사이트들을 통해서 자기 목소리를 내기 시작했다. 본인글 열람을 막은 뽐뿌를 방통위에 민원으로 넣었다는 유저의 글 #과 각 게시판에 자발적으로 해킹안내글을 올렸다가 규정위반이라며 레벨10 강등 된 회원의 글 # 이 올라왔다.
운영진의 대응에 불만을 느끼는 사람들이 많이 있어서 하루에 글이 올라오는 수가 상당히 줄었으며 정상적인 글임에도 댓글로 다른 의견을 주는 경우도 급증했다. 또한 뽐뿌에 기본으로 내장된 링크프라이스 경유를 우회하기 위해 유저 자발적으로 우회가 가능한 자바스크립트를 포함한 상품링크를 뽐뿌게시판에 올리거나 뽐뿌의 광고배너를 차단하는 방법들이 공유되기도 시작했다. 15년 9월 말 뽐뿌게시판에 기준 하루에 올라오는 글의 갯수는 20개 혹은 그 이하로 전성기 시절이나 해킹사건 이전과는 비교할 수 없을 정도로 줄어들었다. 그러나 여전히 대체 사이트들에 비해선 훨씬 왕성한 수준이다. 상술한 '닭치고' 이벤트의 여파로 10월 6일 즈음 정상화 움직임이 보이던 뽐뿌게시판은 '닭'관련 드립용 상품들이 지속적으로 올라오고 있다.
5.1. 뽐뿌 대체재의 등장
해킹 사건으로 뽐뿌를 떠나는 사람이 지속적으로 생기자, 뽐뿌의 대체재가 속속 생기고 있다.-
펌프: 딴지일보에 소속. 딜바다가 유명해지기 전까지는 한때 뽐뿌 대체제로 유명했었다. 단기적으로 딴지일보 회원수가 급격이 늘어나긴 했으나 일단 뽐뿌와 성향 자체가 달랐고, 사이트 자체가 딴지일보의 하위게시판에 불과했기 때문에 이용하기 꺼린 사용자들이 늘어났다. 결국 많은 사용자들이 딜바다로 빠지면서 어느새인가 폐쇄되었다. - 딜바다 : 마트모어 개발자가 만든 사이트로 뽐뿌 렌섬웨이 사건이후 일부 유저들이 딜바다로 이전해 활성화되었다.
-
지름: 기존 뽐뿌 고렙 유저가 만든 사이트. 운영진의 고압적인 태도와 사이트 유지보수를 제대로 하지 못하다 결국 폐쇄되었다. 뽐뿌가 설사 망해도 대체제는 얼마든지 있었기에 망해도 싸다. - 딜딜 : 기존 뽐뿌 고렙 유저가 만든 사이트. 지름처럼 망하지 않았으나 딜바다에 비하면 커뮤니티 기능이 죽어있다.
이번 사건 이전에도 뽐뿌 아류작 사이트[26] 들이 있었으나 거의 사라진 점을 생각해보면, 대체 사이트의 흥행에는 지속적인 운영과 관리, 홍보, 그리고 기존 뽐뿌 회원들의 적극적인 저항의식 및 자주성의 신장이 관건이다.
6. 관련 문서
[1]
게시글이 삭제된것으로 보인다.
[2]
하지만 모든 DB 작업에 대해서 날쿼리를 날리는 제로보드 4 코드베이스의 특성상 알려지지 않은 SQL 인젝션 취약점이 더 존재할 가능성도 충분.
[3]
뽐뿌 관리자가 타 사이트를 해킹하라고 해커에게 주문했으나, 뽐뿌 관리자가 약속된 돈을 주지 않아 해커가 뽐뿌의 DB를 뿌렸다는 설.
#
#
#
[4]
현재는 관리자의 정확하고 신속한 대응으로 막힌 상태이다.
[5]
사실 해쉬함수를 사용하는 방식은 암호화라고 명명하지 않고, 암호화라고 부를수도 없다. 해쉬함수는 말그대로 단방향 난독화 함수이기 때문에 복호화가 불가능하기 때문. 따라서 운영진의 비밀번호 복호화 운운하면서 변명하는건 웹사이트 운영과 개인정보 보호에 대해 기초적인 상식조차 없다고 보면된다.
[6]
제로보드의 기본 패스워드 암호화는 MD5가 아니다. 뽐뿌에서 자체적으로 바꾼 것으로 추정된다. 제로보드는 MySQL에 있는 password 함수를 이용하는데, 문제는 제로보드가 너무 오래되다보니 MySQL 4.1 이전 버전의 암호화를 사용하고 있다. 이 물건은 암호화 문자열 길이가 16자밖에 안 되기 때문에 MD5보다 더 취약한 물건이고, MySQL도 이 문제점을 인식해서 4.1 버전부터 password 함수의 암호화 방식을 바꿔서 41자의 문자열이 생성되도록 바꾸었고 기존 암호화는 old_password 함수로 바꾸었다. PHP도 버전업을 통해 PBKDF2,
SHA-2, SHA-3, bcrypt, argon2, sodium 등의 암호화 함수를 내장하게 되었다. 국내 호스팅을 보면 euc-kr 호스팅의 MySQL 버전이 4.0대에서 정지되어 있는 것을 볼 수 있는데 이 문제 때문.
[7]
단방향 암호화는 원래의 문자열로 복호화가 불가능하므로 패스워드를 비교할때는 입력받은 패스워드를 단방향 암호화하여 암호화하여 저장한 원래의 패스워드와 비교하여 같은지를 대조하는 것이다. 그런데 해시충돌을 찾아낼 수 있다면 원래의 문자열과는 다르지만 단방향 암호화했을때 같은 문자열로 변환되는 문자열을 만들어 낼 수 있게 된다. 그리고 이 문자열을 패스워드에 넣으면 단방향 암호화를 거친 후의 문자열은 원래의 패스워드와 동일한 것이 되므로 패스워드가 뚫리게 된다.
[8]
평문 문자열과 이 문자열을 단방향 암호화하여 변환한 해시값을 저장한 목록을 지니고 있는 일종의
사전이다. 비밀번호로 이 사전 안에 들어있는 단어를 사용했다면 해시값을 안다는 가정 하에 평문도 검색하는 것이 가능하다. 이런 기법이 있기 때문에 비밀번호에 대소문자를 섞고 숫자나 특수문자 같은 것을 넣으라고 하는 것.
[9]
"•.apk 파일이 내려 받아지는 문제는 이곳의 문제도, 뽐뿌의 문제도 아닙니다, 광고 배너에 문제가 있습니다. 이 배너를 게재한 다른 사이트도 동일한 증상이 일어납니다." 라고 주장하는 사람도 있다.
#
[10]
뽐뿌는 수많은 포럼으로 구성되어 있지만 특정 포럼 유저들은 해당 포럼만 이용하는 경우가 대부분이다. 회원들의 과거글 보기를 참조해 보면 된다.
[11]
아마존은 물론이고
구글 계정이나,
페이팔 계정도 확인을 해야 한다고 한다.
[12]
뽐뿌게시판 자체는 그나마 대체재가 있으나, 해외뽐뿌는 대체재가 거의 없다. 그 때문에 뽐뿌게시판은 풍자적 요소가 담긴 글들이 주로 올라오는 반면, 해외뽐뿌는 평소와 다름없는 글들이 올라오고 있다.
[13]
게시물에 접속하면 강제 팝업창이 뜬다. 마음만 먹으면 충분히 악용할 여지가 있다.
[14]
예로 XSS 취약점을 이용해 로그인한 회원의 쿠키 정보를 해커의 서버로 넘겨버리면 해커는 회원의 아이디, 비밀번호를 전혀 모르는데도 해당 회원의 계정으로 로그인한 것처럼 속일 수 있다. 이는 관리자도 당연히 포함된다.
[15]
대다수의 사이트가 아이핀으로 가입되고 비밀번호 찾기가 가능한데, 아이핀이 해킹당한다는 건 모든 사이트가 털릴 수 있는 진짜로 위험한 상황이다.
[16]
제목과 내용이
펑으로만 바뀌어있다. 멘탈이 펑 터진건가
[17]
'저렴한 가격과 좋은 품질을 가진 제품의 구입정보를 공유하는' 게시판. 즉 가성비 좋은 제품의 공유 공간. 제품을 파는 곳이 아닌, 제품의 구입정보(딜)을 공유 하는 곳이다. 착각 하지 말자.
[18]
#
#
#
#
# 자유게시판이 아닙니다. 뽐뿌게시판입니다.
위 아 더 월드
[19]
실제로 업자가 아닌 헤비유저들이 올리는 걸로 보이는 글들도 죄다 전부 다른 의견을 먹고 있는 실정이다.
[20]
#
#
[21]
현재 운영진이 반자동 뽐펑이를 막아 사용할 수 없게 되었다.
[22]
해킹 사건 정리되고 나서 추가하겠다고 말은 하는데, 예전 사례를 보면 이번에도 아무런 조치없이 지나칠 가능성이 있다.
[23]
비방 문장을 빼고 글을 다시 쓰면 삭제되지 않은 사례가 존재함.
[24]
저런...
[25]
실제로 딴지일보는 SLR클럽 사건 당시, 난민들이 이주했을 때 서버를 증축했었다.
#
[26]
대표적으로 뿌앙, 인메이크