회원 745만명 개인정보 열람돼, 11만명 외부 유출 파악
동영상 공유 사이트 판도라TV의 회원 개인정보가 웹서버 취약점을 노린 해킹 공격으로 인해 유출됐다. 이같은 해킹 방식은 가장 빈번한 공격 유형으로 안일한 보안의식 때문에 사고가 발생한 것이라는 비판이 나오고 있다.
15일 판도라TV와 방송통신위원회 등에 따르면 판도라TV는 사내 보안점검을 통해 특정 서버에 지난달 9일과 17일 양일간 외부 해킹 흔적을 발견했다. 판도라TV의 신고를 받은 방송통신위원회 등 관계기관 조사 결과, 해당 기간동안 총 870만 7838건의 회원정보 중 745만5074건의 회원 정보가 열람됐고 그 중 11만4707건 개인정보가 외부로 유출된 것으로 파악됐다.
이번 해킹으로 유출된 개인정보는 아이디, 이름, (암호화된) 비밀번호, 생년월일, 주소, 이메일, 휴대전화번호 등 7개 항목 일부 또는 전체다. 판도라TV는 주민등록번호는 가입시 수집하지 않고, 비밀번호도 암호화한 상태라 직접적인 피해는 없을 것이라고 설명했다.
현재 경기 성남 분당경찰서는 판도라TV 신고에 따라 구체적 해킹 경로와 피해 여부 등에 대한 수사를 진행 중이다.
이번 해킹 유형으로 알려진 웹페이지의 취약점을 이용한 공격은 국내외에서 아주 일반적인 방식이다. 웹페이지 서버에 악성코드를 심어서 이를 이용해 본사 데이터베이스(DB) 서버까지 접근하는 공격으로 중국 IP에서 시작된 것으로 조사됐다.
보안업계 등에 따르면 판도라TV 웹사이트에 악성코드가 삽입되는 등 지난 2~3년간 자주 해킹 조짐이 보였던 것으로 전해졌다. 웹페이지 설계에서부터 보안을 고려하지 못한 결과라는 설명이다.
일각에서는 이러한 기본적 대비책없이 과도한 정보 수집을 했다는 비판도 제기된다. 이용자들은 최근까지 판도라 TV가 주소 등 서비스 이용에 불필요한 개인정보를 요구한다고 반발해 왔던 것으로 전해졌다.
보안업계는 이번 사태가 판도라TV에만 국한된 것은 아니라고 경고한다. 국내 중소 웹페이지 대부분이 이러한 공격에 충분히 대비하지 못한 것이 현실이라는 것.
문일준 빛스캔 대표이사는 "웹 애플리케이션을 개발할 시점부터 보안에 입각한 프로그래밍(시큐어 코딩)을 하고, 웹 개발이 완료된 시점에는 소스 검수, 웹 취약점 진단 등을 통해 최종적으로 안전여부를 확인한 후에 웹페이지를 열어야한다"고 설명했다.
독자들의 PICK!
이미 개발된 웹사이트인 경우 웹 취약점 진단 솔루션을 이용해 웹 취약점을 수정하거나, 웹 방화벽 구축, 해킹 탐지 서비스 활용 등 꾸준한 대응이 필요하다고 강조했다.
한편 방통위는 판도라TV의 개인정보보호 관련 법규 준수 여부에 대해서는 조사를 계속해 위반 사항이 있는 경우 엄격하게 조치할 예정이다. 판도라TV 측은 "주소, 이메일 등 상업적으로 활용되는 부분에 대해 구체적으로 피해 보상을 논의하기는 아직 곤란하다"는 입장이다.