안녕하세요. 개발 운영진 IEEE입니다.
최근 발생한 타 사이트 해킹과 그와 관련한 이슈에 대해 설명을 드립니다.
9월 11일 P모 사이트에 해킹범으로 추정되는 회원이 해당 사이트에 가입된 다수의 계정의 정보를 노출하는 일이 있었습니다. (그 전에도 비슷한 일이 해당 사이트에 여러번 있었단 글을 봤지만 확실하지는 않습니다.) 해당 사이트의 운영진은 이를 인정하고 후속 조치를 취하고 있습니다.
hotvideo_XXXX_Y.apk
해당 사이트에 우연히도 악재가 겹쳤는지, 안드로이드 웹 브라우저를 통해 hotvideo_XXXX_Y.apk 이름을 가진 파일이 다운로드된다는 보고가 들어왔습니다. 그와 동시에 피지알과 R모 사이트 등 다수의 사이트에서도 동일한 APK 파일이 다운로드 되는 증상이 보고되었습니다. 때문에, 해당 사이트 외에도 여러 사이트들 역시 해킹된 것이 아니냐라는 의혹이 제기되었습니다.
결론부터 말씀드리면, 이것은 각각의 사이트에서 직접 관리하는 서버가 해킹된 것이 아닙니다. 각각의 사이트에 표시되는 광고 중 일부가 광고 모듈의 취약점을 악용하여 APK 파일을 다운로드하도록 유도하는 것입니다.
(참고:
http://hummingbird.tistory.com/6088 ,
http://m.ppomppu.co.kr/new/bbs_view.php?id=phone&no=3092753 ; 건의게시판 '은'님, '어리버리'님 제보 감사합니다. )
광고 모듈은 구글에서 제공하는 것이어서 여러 광고들 중에서 문제를 일으키는 광고를 찾아 출력을 하지 않도록 설정을 변경해주면 되는데, 제 핸드폰과 타블렛으로 문제의 증상을 재현하는데 어려움을 겪어서 조치하는데에 오랜 시간이 걸렸습니다. 피지알은 어제 저녁부터 화려한(?) 광고들을 제거하고 텍스트 및 단순 이미지로 구성된 광고만 출력하도록 조치했습니다. 그러니 안심하시고 피지알을 하셔도 괜찮습니다.
피지알의 서버 보안
아직도 인터넷에는 구식 CMS (게시판 프레임워크)를 사용하는 사이트가 많습니다. 이것은 유명/대형 커뮤니티 중 적지 않은 수도 해당됩니다. 피지알도 구식 CMS를 사용하는 사이트 중 하나입니다. 저 이전에 활동을 하시던 개발 운영진도 그랬을 것이고, 저와 같이 개발 활동을 하시는 운영진분들도 그렇듯이, 저희는 꾸준히 서버를 감시하고 공격을 탐지하고 대응책을 마련하고 있습니다.
(그럼에도 불구하고 구식 CMS의 태생적 한계도 존재하기에, 최선의 방법은 신식 CMS를 도입하는 것입니다. 하지만 데이터의 이전 및 마개조(?)된 기능을 신식 CMS에 동일하게 구현하는 데에 적지 않은 시간과 노력이 필요합니다. 이 부분은 차근차근히 진행해서 기존의 피지알과 외관상, 기능상 거의 차이점을 느끼지 못할 정도로 작업이 이루어진다면 다시 말씀드리겠습니다.)
다시 서버 보안으로 돌아와서, 해킹된 P모 사이트의 경우 데이터베이스에 저장된 회원들의 정보가 통째로 유출된 것으로 알고 있습니다. 그나마 다행인 점은, 비밀번호 등 중요한 정보는 암호화된 채 유출되었지만, 다행이지 않은 점은 암호화 알고리즘의 연식이 꽤나 된 것이어서 간단한 비밀번호는 금새 해독이 가능하고 복잡한 비밀번호를 푸는 데에도 그렇게 오랜 시간이 걸리지 않는다는 점입니다.
문제는 피지알도 동일한 암호화 방식을 사용하고 있다는 점입니다. 아직까지는 피지알의 데이터베이스가 유출되어 P모 사이트와 같은 일이 발생하지 않았지만, 동일한 일이 발생하지 않으리란 보장이 없습니다. 그렇기에 피지알에서도 이 부분을 보강하여 설령 데이터베이스가 유출되는 일이 있어도 사용자의 비밀번호가 손쉽게 해독되어 악용되는 일이 없도록 조치하려고 합니다.
이를 적용하는 데에는 시간이 다소 걸리겠지만, 최대한 빨리 작업을 완료하려고 합니다. 그 동안은 다소 양해를 부탁드리며 혹시나 모를 P모 사이트 사건의 여파로 인한 2차 피해가 없도록 피지알 및 피지알 회원 가입에 사용된 메일 계정의 비밀번호를 갱신해주시는 것을 권장해드립니다.
이와 관련한 사항과 기타 문의 사항들은 이 글의 댓글과 건의게시판에 남겨주시면 가능한 한 빠르게 답변드리겠습니다.
감사합니다.
IEEE 드림.
세 줄 요약
1. hotvideo_XXXX_Y.apk는 P모 사이트와 무관, 해킹과도 무관합니다
2. 피지알의 개인정보 암호화 수준 향상은 작업 중입니다
3. 사실 두 줄 요약입니다