뽐뿌

공지사항 입니다.

뽐뿌 공지 공간입니다. 많은 관심 부탁드려요.
[2015년 9월 24일] 4차경과 보고 - 취약점 노출 경위 및 개선/대응 사항, 운영 방향에 대해 말씀드립니다. 313
이름: 관리자3


등록일: 2015-09-24 17:54
조회수: 20110 / 추천수: 10





안녕하세요.


뽐뿌 운영자입니다.


911 해킹 사건으로 인해 피해와 심려 끼친 부분에 대해, 모든 회원님께 머리를 숙여 다시 한번 사과드립니다.


나날이 커져가는 불신의 간격을 단순히 시간 벌기로 대응하고자 했던 것은 아닙니다. 

보다 철저한 검증과 계획, 실행을 통해 답하고자 했습니다. 

어느덧 시간이 경과하여 이제 대부분의 조사와 수사 관련 자료 제출이 마무리되었습니다.

잘못되었던 부분을 보다 상세하게 공유하고, 개선된 사항과 향후 대응, 운영 방향에 대해 말씀드리겠습니다.


먼저 SQL Injection으로 정보가 유출된 이후, 그 동안 뽐뿌가 무엇을 했는지, 보안 의식은 있는지 많은 질타를 받았습니다. 

결과론적으로 정보를 지키는데 실패하였고, 여기에 어떤 변명도 할 수 없었습니다. 

이전 사례를 통해 운영진에서는 보안에 인적 물적 투자를 해왔습니다. 최신 보안 이슈를 취합할 수 있는 채널을 확보하여 신속하게 움직였습니다. 

번거로울수 있는 세미나와 개별소스에 대한 세세한 리뷰를 통해 오류와 빈틈이 없도록 검증하는 절차를 두어 지켜왔습니다. 

이런 과정을 통해 우려 사항에 대한 많은 논의와 조치들이 진행되었습니다.


그리고 이런 이슈에 부합될 수 있도록 궁극적인 보안 강화를 위해 몇 차례의 PHP버전업을 진행하였습니다. 

그러나 그 동안 보안 프로젝트를 진행하던 책임자가 신상 문제로 퇴사하는 상황이 발생하였습니다. 

오랫동안 책임감 있게 자리를 지켰고,상당기간 보안을 수행했던 책임자 퇴사 후, 후속 책임자가 이후 작업을 진행하게 되었습니다.

공교롭게 이 무렵 ISMS 인증 관련 이슈가 발생하였고, 새로 부임한 책임자와 실무자들은 많은 리소스를 빼앗길 수 밖에 없었습니다. 

ISMS는 일반 중소기업이 감내하기에 만만한 작업은 아니었습니다. 

더욱이 뽐뿌처럼 많은서비스 이슈와 보안 강화작업으로 빽빽한 일정을 소화하는 경우라면 ISMS는 책임자에게 더 많은 부담을 가중시키는 결과로 이어지게 됩니다.


이에 따라 기존 인력의 두 배에 해당하는 개발인력을 충원하였으나, 오히려 부담만더 가중시키는 결과로 이어지게 되었습니다. 

신규 입사자에 대한 관리까지 더해져 업무 과부하도 상당했고, 이로 인해 후임 책임자도 퇴사하게 되었습니다.

이런 과정 속에서 PHP 버전업 프로젝트에 대한 검증 및 후속 조치는물론, 인수인계가 제대로 이루어지지 않았습니다. 

결국 기존에 진행하였던 보안조치 중 일부가 상위버전에서 제거되어서 제 기능을 발휘하지 못하였습니다.


9월 11일 해킹 사건에 대한 원인 분석이 완료됨에 따라, 관련 취약점에 대한 모든 조치는 완료되었습니다. 

이런 사항에 대해 공지하지 못하였던 것은 행여 남아있을 수 있는 취약점을 노출하지 말라는 기관의 권고에 따라서이루어졌습니다. 

모든 변명을 떠나 200만이라는 무거운 짐을지고 있는 대형 커뮤니티에서는 발생해서는 안되는 어처구니 없는 취약점이었고, 

이로 인해 회원님들께 폐를 끼쳤습니다. 사죄드립니다.


한편, 서비스 운영 인력은 뽐뿌 내에서 고인을 모욕하거나, 지역감정을 유발하거나, 고의적으로 분란을 야기하는 등 반사회적 활동을 거리낌 없이 하다가 영구제재된 이용자들과 뽐뿌 밖에서의 싸움을 이어가고 있습니다.

그들은 뽐뿌로 돌아오기 위해 관련 행정 기관에끊임 없는 민원을 넣고, 운영정책을 무력화 시키기 위한 노력을 계속해나가고 있습니다.

여기에 일부 기업들은 허위사실 게재에 대한 책임으로 소송을 진행하고 있습니다. (지금까지 모두 승소했습니다.) 

또한 여러 행정적 대응으로 서비스 인력 대다수의 리소스가 소모되며, 운영에도 큰 차질이 발생하고 있습니다. 

그런 과정 때문에 마땅히챙겨야 했고, 꼼꼼히 확인해야 했던 것들을 놓치고 말았습니다.


미숙했습니다. 

한 순간의 방심이 그 동안 준비했던 것들을 모두 부정하게만들 수 있다는 생각조차 하지 못할 만큼, 부족했습니다. 

회원님들의 소중한 정보를 지키지 못해서 부끄럽고, 진심으로 사과드립니다.


 

논란이 되었던 암호화된 비밀번호가 노출된 부분에 대해 좀 더 구체적으로 말씀드리겠습니다.

비밀번호는 MD5로 단방향 암호화가 되었기 때문에, 그 동안 안전하다라고 말씀을 드렸습니다. 

실제로 이번 유출된 암호화된비밀번호를 모두 복호화하는 것은 사실상 불가능합니다.

MD5의 복호화는 미리 암호를 추측하여, 그것에 대한 MD5를 만든 후 해킹된 MD5와 비교하는 레인보우테이블을 통해 이루어집니다. 

실제로 복호화된십여개 계정의 패스워드를 보면, 숫자이거나 영문a와 숫자로이루어진 형태임을 알 수 있습니다. 

따라서 특수문자를 사용하였거나, 8자이상의 패스워드를 사용하였거나, 

한글 단어를 영문으로 타이핑 ( 예: #*뽐뿌1234  > #*QhaQn1234 )하는 방법처럼 복잡하게 비밀번호를 설정한 경우에는 

이번 노출로 인한실질적인 피해는 없을 것으로 판단하고 있습니다. 

911 해킹 사건 이후 비밀번호를 재설정하신 경우도 문제가능성은 현저히 낮습니다.


앞으로 보안 강화 작업을 진행하며, 보다 안전한 비밀번호 암호화를 진행할 것입니다. 

아울러 정기적인 비밀번호 변경 캠페인을 통해 보다 안전하게 서비스를 이용할 수 있는 환경을 유지하겠습니다. 

이번 사태로 심려끼쳐서 정말 죄송합니다.


뽐뿌에 작성하신 글의 경우, 언제든 삭제가 가능합니다. 

다만 게시물의 삭제로 인해 기존 회원님들께 피해가 갈 수 있기 때문에, 그 동안 일괄 삭제를 적용할 수 없었습니다.

우선 탈퇴하신 회원님들의 정보보호를 위해 게시물 작성자 정보가 삭제되도록 조치할 예정입니다. 

게시글의 삭제를 원하는 회원님께서는 기타정보에 올라 온 일괄 삭제 프로그램 이용 부탁 드립니다.



보안 솔루션 및 컨설팅에 관련하여서는 1차로 앱스캔(AppScan)을 통해 도출된 결과에 대한 작업이 완료되었습니다. 

2차로업계에 계신 회원님께서 공신력 있는 소스코드 취약점 분석 솔루션인 포티파이(Fortify)를 권해주셨고, 

이를 이용하여 추가적인 보안요소에 대한 취약점 점검을 시행하였고, 결과 확인 및 대응을 위한 컨설팅 계약이 진행되고 있습니다.



등급 논란이 있었던 SSL 인증서는 보다 높은 보안 등급의 인증서로교체가 진행 될 것이며, 

ISMS심사까지 수행하여 최소한의 신뢰를 얻을 수 있도록 조치하겠습니다.


보안관련 전문가와 담당자를 영입하여, 최고 수준의 보안을 유지할 수 있도록 하겠습니다. 



상기 조치 사항에 대해서는 처리되는 대로, 공지를 통해 알려드리겠습니다.



이번 사태에서 가장 큰 문제는 역시 소통이었습니다. 

공지 통제에 따른제한도 있었지만 운영진의 신속하고, 원만하지 못한 대응이 결국 불신과 분노를 더욱 키웠습니다.


이전에 말씀 드린 것처럼 공식적인 좌담회는 물론, 언제든 운영자와 별도로 대면하고 깊이 소통할 수 있는 창구를 마련하겠습니다. 

이 과정을 통해 의문점이나 불편한 점, 요구사항을 직접 해소할 수 있도록 하겠습니다. 

무엇보다 운영진이 회원님들께 받은 성원과 기대에 부합할 있도록 노력할 것을 다시 한번 약속드립니다.



또한 끔찍했던 아홉수에서 벗어나 10주년에 이르게 되는 금년. 

감사와 사죄의 의미를 담아 믿고 기다려주신 회원님들과 의미 있는 기회를 만들겠습니다.


이 정도로는 회원님들의 성난 마음이 풀리지 않을 것이라는 것도 잘 알고 있습니다. 

하지만 진정성 있는 자세로 임하여 회원님들의 마음이 조금이라도 운영진에 대한 믿음으로 이어질 수 있도록 만들겠습니다.


뽐뿌는 일류 회원을 가진 삼류 운영진이라는 오명을 벗고,

회원님들이 원하는 사이트로 성장하기 위해 뼈를 깎는 노력을 하겠습니다.



잘하겠습니다.


죄송합니다.



[ 주소복사 http://www.ppomppu.co.kr/zboard/view.php?id=notice&no=843 ]

추천 10

다른 의견 83


상대에게 상처를 줄 수 있는 댓글은 삼가주세요. (이미지 넣을 땐 미리 보기를 해주세요.)
직접적인 욕설 및 인격모독성 발언을 할 경우 제재가 될 수 있습니다.
- 미리보기
이모티콘  다른의견   익명요구    
△ 이전글▽ 다음글 -목록보기