뽐뿌 운영자는 11일 밤(10시52분) “전수검사를 통해 취약점을 이용한 회원 계정 해킹 사실을 확인했다”며 “이러한 불미스러운 일이 발생한 것에 대해 고개 숙여 사과드린다”고 밝혔다.
공지에 따르면, 이번 해킹은 지난 11일 새벽 1시경 서비스 내 취약점(SQL 인젝션 공격)을 통해 모든 회원의 아이디와 암호화된 비밀번호, 생년월일, 이메일, 뽐뿌닉네임, 암호화된 장터 비밀번호, 가입일, 회원점수 등의 개인정보가 유출됐다. 유출된 회원 정보는 190만여명이다.
뽐뿌는 회원가입시 주민번호는 수집하지 않고 있다. 비밀번호는 단방향 암호처리를 적용돼 있으나 암호화 알고리즘의 취약점을 이용해 단순하게 설정된 비밀번호의 경우에는 복호화된 것으로 판단하고 있다.
이에 따라 운영자는 뽐뿌 로그인 비밀번호를 즉시 변경할 것과 함께 타사이트의 아이디와 비밀번호도 동일한 경우엔 변경해야 한다고 권고했다. 6주간 접속기록이 없는 회원들의 비밀번호는 일괄 변경하는 임시 대응조치를 수행했다고 설명했다.
이번 침해사실을 밝히기 위한 전수조사는 한국인터넷진흥원이 제공한 웹쉘·악성코드 탐지 솔루션을 구동해 실시했다. 뽐뿌 운영진은 취약점을 파악한 후 현재 비밀번호 암호화 알고리즘 변경, SQL 인젝션 공격 차단을 위한 관련 라이브러리 변경 작업을 진행 중이다.
뽐뿌측은 “팝업을 통한 해킹 사실 공지와 이메일 발송을 통해 접속하지 않는 회원들도 모두 인지할 수 있도록 안내하겠다”며 “추가 문제가 발생하지 않도록 대응하겠다. 아울러 정보보호관리체계(ISMS) 인증을 통해 보안수준을 강화해 정보보호에 만전을 기할 것이다”고 밝혔다.
뽐뿌 회원들은 현재 아이디와 비밀번호 등 개인정보 유출과 뒤늦은 조치에 따른 불쾌감을 드러내고 있다. 개인정보 유출 정황으로 함께 제기됐던 회원 로그인시 의심스러운 파일(apk) 다운로드 문제 해결 방법과 운영자의 타사이트 해킹 의뢰 의혹에 대한 정확한 설명이 필요하다는 등의 요구도 제기하고 있다.