뽐뿌(PPOMPPU)는 대한민국의 쇼핑 관련 정보 공유 사이트로, 15일간 매일 만원씩 구입하면 20만원 적립금을 주는 GS이스토어 이벤트 정보공유를 위해서 오픈했다고 합니다.1 이후 여러 가지 좋은 제품 관련 딜을 올리는 사이트로 발전하여 지금의 뽐뿌에서는 먹을거리부터 통신 관련 딜까지 온라인 쇼핑몰 정보 공유 사이트중에서는 단연 1등이라고 할 수 있을 정도의 인지도와 사용자수를 가지고 있었습니다.
2015년 9월 11일 오후 3시 경 뽐뿌에서는 회원정보의 유출이 있다는 글이 올라왔고, 해킹 가해자로 추정되는 사람이 글을 올리기 시작하면서 논란은 점점 가속되기 시작했습니다. 설상가상 관리자의 안이한 대응과 해커와 관리자간 거래가 있었다는 의혹이 제기됨과 함께 사이트의 여론은 거칠어진 상태로, 지금은 관리자에 대한 원색적인 비난과 부적절한 운영에 대한 비판이 줄을 지어 올라오고 있는 상태입니다.
저 또한 뽐뿌에 상주하던 7레벨 유저로서, 유출된 회원정보에 대한 황당함을 금치 못하였고, 뽐뿌의 보안 수준에 대한 의심이 들기 시작했습니다.
개인적으로 보안에 취미를 가지고 있었던 터라, 무슨 일이 있었던 것인지 알아보게 되었습니다.
이번 사건은 SQL Injection 공격에 의한 회원 DB 유출이 그 원인입니다. SQL injection은 웹사이트의 폼 따위에 관리자가 생각지 못한 스크립트를 주입함으로서 비정상적인 DB의 유출을 유도하는 스크립트입니다. 상당히 기본적인 공격이지만, 강력하고, 방어하지 못했을 시의 타격은 엄청나다고 볼 수 있습니다. 이러한 이유 때문에 OWASP에서는 근 몇 년간 가장 위험한 보안 취약점을 인젝션 공격으로 뽑기도 했습니다.
관리자는 보안 강화에 총력을 기울이겠다2는 공지를 발표했습니다만, 의문을 가진 저는 가장 기본적인 공격인 XSS를 게시판에 시도해 보았습니다. XSS는 사이트에 예상치 못한 스크립트를 개시하여, 클라이언트가 접속했을 때 해커가 원하는 스크립트를 실행하도록 하는 공격입니다. SQL injectiom과는 비슷해 보일수도 있지만, 공격받는 대상이 클라이언트와 데이터베이스로 다르고, 공격이 효과를 발하는 시점 또한 다릅니다.
뽐뿌에 시도한 XSS 공격은 성공이었습니다. 사실 XSS 공격은 간단한 스크립트 몇 줄로도 막을 수 있는 공격이지만, 이것이 이렇게나 간단하게 통할 수 있다는 사실에 경악을 금치 못하였습니다. 사족으로, 뽐뿌에는 정보보호책임자 두 명과, 그 두 명을 감시할 수 있는 직책과, 정보보호의 실무를 담당하는 직원들이 있다고 합니다만, 이러한 단순 스크립트 공격이 들어간다는 것은 한심하기 짝이 없는 행태입니다.
만약 제가 악의적 목적을 가진 해커였다면, 관리자를 포함한 사이트 사용자들의 세션을 훔쳐서 접속하게 될 수 있을 것이고, 이는 곧 서버 전체의 해킹으로 이어집니다. 이러한 심각한 상황에도 불구하고, 게시판 담당자는 문제를 지각하고 해결하기는커녕, 글들을 삭제하고 취약점에 대해서는 묵인하고 있는 모습을 보였습니다.
사태가 심각해지자 관리자는 다급히 취약점을 수습하기 시작했고, 하루가 지난 현재로서는 대부분의 XSS 관련 취약점이 픽스된 것으로 보입니다.
그러나 개인정보 유출로 인해 떠난 회원의 마음은 돌아올리가 만무합니다. 소 잃기 전 외양간을 고치는 것이 얼마나 중요한 것인지를 깨닫게 하는 좋은 일이었습니다.