'기술지원'에 해당되는 글 1

  1. 2015.09.14 (실시간속보) `뽐뿌` 개인정보 유출 사고…미래부 조사 착수
 

`뽐뿌` 개인정보 유출 사고…미래부 조사 착수했다고 한다.


휴대폰을 저렴하게 구매할 수 있고, 어떻게 구매하면 더 잘 구매할 수 있나를 알려주는

커뮤니티 사이트인 ‘뽐뿌’에서 해킹 사고가 발생했다고 공지를 했다.

그래서 정부(미래부)가 원인 조사에 착수했다.


미래부는 사고의 정확한 조사를 위해

공무원 및 민간 전문가로 구성된 ‘민·관 합동조사단’을

12일 구성했다고 밝혔다.


밝힌 게 12일인가? 구성된 게 12일인가?

토요일인데, 출근하지 않았겠는데....

벌초하러 가지 않았나?



이미 뽐뿌는 11일 오전 1시쯤 해킹 공격을 받아 

(새벽에 공격을 받았으니... 1시간 늦은 중국을 의심해볼 수 있겠다.)

회원 개인정보 190만여건이 유출된 것으로 알려졌다.

해킹 수법, 배경, 의도 등은 아직까지 파악되지 않고 있다.

(다 털린 것으로 예상된다. 아이디와 암호가 털렸을 가능성이 높고,

핸드폰번호도 털렸을 가능성이 있으므로

스팸 전화나 문자를 받을 가능성이 높다.)


이에 "방통위"가 "뽐뿌"에

(1) 누출된 개인정보 항목과

(2) 유출 시점,

(3) 피해 최소화를 위한 이용자의 조치 방법,

(4) 이용자 상담 등을 접수할 수 있는 부서·연락처 등을 이용자에게 이메일 등으로 통지하도록 했다.

(5) 또 개인정보 유출 사고에 따른 이용자 보호를 위해 개인정보 불법 유통 및 노출 검색 모니터링을 강화하고,

(6) 개인정보침해신고센터를 24시간 가동해 신고를 접수하도록 했다.


"미래부"는 

(1) 침해사고의 원인 분석에 나서는 한편

(2) 개인정보 유출에 악용된 취약점 등을 보완할 수 있도록 기술지원을 실시하기로 했다.

(3) 또 이번에 유출된 개인정보를 이용한 파밍·피싱 등 2차 피해 예방을 위해 비밀번호를 변경하는 등


  이용자가 사이버사기 대처 요령을 숙지하고 주의를 기울여줄 것을 당부했다.





결국엔 모든 피해는 알아서 하란 이야기다.

지금까지 이렇게 문제가 발생해서 스팸이나 광고성 전화, 파밍, 피싱 등의 불편을 겪어도

어떠한 보상도 없었던 선례를 보아왔다.


통신사에서도 이에 대해 조치해줄 수 있지만

소극적인 반응을 보이는 건

스팸머에게서 수익이 발생되고 있는 건 아닌지 의심해볼 수 있는 부분이다.


뽐뿌의 경우 단방향 암호처리가 진행되었으나암호화 알고리즘의 취약점을 이용하여 단순한 비밀번호를 복호화한 것으로 판단하고 있습니다.


피해규모를 알 수 있는 부분이다.

로그인 암호가 단방향(아마도 일괄적인 방식으로) 암호화가 됐는데,

단순한 비밀번호를 복호화했다고 하니,

암호가 털렸다는 말이겠다.

그럼, 만일 동일한 아이디와 암호로 여러 사이트에서 사용한다면

이젠 그 암호를 사용하면 안된다는 말이다.

아마도 해커가 특정 아이디의 암호로 로그인한 뒤 암호를 변경한다면 더이상 로그인이 안된다는 말이다.

그럼 복잡해지게 된다.


그나마 다행인 건 주민번호는 안털렸단다.


뽐뿌는 지금까지 단 한 차례도 주민번호를 수집한 적이 없습니다.


그런데, 핸드폰 번호는 털렸다면 역시 복잡해지고, 불편해진다.



다행히 나는 안털렸나보다..... 근데.... 이게 사실일까? 못믿겠다.




계정 해킹 사건으로 인하여 심려끼쳤습니다.

고개 숙여 사과드립니다.

 


먼저 금일(9월 11발생한 계정해킹 사건에 대해 알려드립니다.

최초 제보 후 전수검사를 통해 취약점을 이용한 계정 해킹 사실이 확인되었습니다.

이러한 불미스러운 일이 발생한것에 대해 고개 숙여 사과드립니다.

 

또한 선조치 후보고를 통해유사 시 피해 최소화를 위해 상황 전달 및 소통이 부족했던 점 진심으로 사과 드리겠습니다.

 

정말 죄송합니다.

 

 

개인정보 유출에 따라 아래와 같은 사실을 알려드립니다.

1.    유출된 개인정보의 항목

 모든 회원님의 ID, 암호화된 password, 생년월일,E-mail, 뽐뿌닉네임암호화된 장터password,가입일회원점수

2.    유출된 시점 및 그 경위

개인정보 유출은 20159월 11일 새벽 한 시 경뽐뿌 서비스 내의 취약점(SQL injection 공격)을 통해 접근한 것으로 확인됩니다.

3.    침해 사실에 따라 피해 최소화를 위해 다음과 같은 조치를 부탁 드립니다.

l  뽐뿌 로그인의 비밀번호 변경을 부탁 드립니다.

l  임시 대응 조치에 따라 최근 6주간접속 기록이 없는 회원님에 대해서는 임시 조치가 되었습니다이 경우 비밀번호 찾기를 통해 비밀번호재설정을 부탁 드립니다.

l  뽐뿌와 타 사이트의 아이디비밀번호가 동일한 경우 변경을 부탁 드립니다.

영문 대소문자와 특수문자숫자를 혼합하여 8자리 이상으로 변경 부탁 드립니다.

4.    대응조치 및 피해구제에 대해 알려드립니다.

l  금일 의심 신고에 따라 6주간 접속하지 않은 계정에 대해서는전부 비밀번호가 변경 되었습니다.

이후 추가적인 로그인 및 악의적인 활동은 확인되지 않았습니다.

l  오후 5시 10분부터 한국인터넷진흥원에서 제공하고 있는 웹셀 및 악성코드에 대한 탐지 솔루션 휘슬(Whistl)을 구동하여 전수 조사를 진행하였습니다.

l  이 과정에서 한국인터넷진흥원과 유선상 연락을 취하며상황 공유 및 향후 진행사항에 대한 논의를 진행하였습니다.

l  또한 취약점 파악이 이루어진 금일 2130분부터 즉시 취약점이 발생한 소스 보완작업이 완료되었습니다.

l  이후 약 48만명에 대한 비밀번호 변경 절차를 통해추가적인 피해가 발생하지 않도록 조치될 예정입니다.

l  또한 금일 21시 30분 취약점 파악 및 조치와 동시에 한국인터넷진흥원에 피해 신고를 접수하였습니다.

  - 팝업을 통한 해킹 사실 공지와 이메일 발송을 통해 접속하지 않으신 회원님들도 모두 인지하실 수 있도록 안내하겠습니다.

l  취약점 파악 후 패스워드 암호화 알고리즘 변경, SQL Injection 공격 차단을 위한 SQL 관련 라이브러리를 변경하기 위한 작업을 진행하고 있습니다.

l  또한 웹 취약점 분석툴인 Whistl분석 결과를 반영하여 추가적인 문제가 발생하지 않도록 대응하겠습니다.

l  아울러 ISMS 인증을 통해 보안수준을 강화하여정보보호에 만전을 기할 것 입니다.

 

5.    피해가 발생한 경우 신고 할 수 있는 담당부서와 연락처는 다음과 같습니다.

l  피해 의심이 가는 경우 사이트 하단의 운영참여게시판을 통해 문의하실수 있습니다.

l  유선상 문의가 필요하신 경우 070-5088-2400으로 문의주시면 됩니다.

l  관련 사항에 대한 처리 담당부서는 커뮤니케이션팀입니다.

 

6.      금번 유출에 대해 의구심을 갖는 부분에 대해 설명드립니다.

l  뽐뿌의 경우 단방향 암호처리가 진행되었으나암호화 알고리즘의 취약점을 이용하여 단순한 비밀번호를 복호화한 것으로 판단하고 있습니다.

l  운영자의 해킹 사주에 대한 것은 낭설이며사실도 진실도 아닙니다.

l  지난 8월 20일 발생한 문제에 대한 공지는 사실이며금번 문제와 관계가 없습니다

뽐뿌는 지금까지 단 한 차례도 주민번호를 수집한 적이 없습니다.

 

 

뽐뿌 회원님들께.

 

이러한 참담한 결과가 발생한것에 대해 입이 열 개라도 할 말이 없습니다.

모든 결과가 말하듯이 운영을 잘못하였으며이 잘못으로 인해 회원님들께 누를 끼친 것에 대해 고개를 들 수 없습니다.


모든 잘못을 인정하며이후 문제 확산이 이루어지지 않도록 최선을 다할 것 입니다.

이로 인해 발생한 피해를 해결할 수 있도록 모든 수단과 방법을 강구하겠습니다.

또한, 문제가 반복되지 않도록 ISMS 인증 및 보안을 강화하며 불신을 해소하겠습니다..

 

그 간 뽐뿌 운영자로서부족한 점이 많았지만깊은 사랑과 관심 받았습니다.

그 사랑과 관심에 부응하지 못한 부분이 정말 부끄럽습니다.

다시 한번 거듭 사과드립니다.


진심으로 머리 숙여 사과드립니다


 

티스토리 툴바