국내 최대 휴대폰 커뮤니티 뽐뿌의 홈페이지는 웹해킹에 많이 이용되는 'SQL 인젝션(Injection) 공격'을 당해 뚫린 것으로 드러났다.

13일 보안 업계에 따르면 SQL 인젝션은 홈페이지에 악의적인 시스템 명령을 숨겨놓고 방문자를 감염시키는 해킹 수법이다.

해커들은 로그인 인증을 우회해 데이터베이스에 있는 회원 아이디와 패스워드 등의 개인정보를 빼돌릴 수 있다.

뽐뿌 홈페이지는 지난 11일 오전1시께 SQL 인젝션 침입으로 190만건의 회원 ID, 비밀번호, 생년월일, 닉네임, 가입일, 회원 점수 등을 유출당했다.

SQL 인젝션은 난이도가 높지 않은 해킹 수법으로 알려져 있다. SQL 인젝션 수법으로 해커가 관리자 권한을 획득할 수 있다면 홈페이지 자체 보안이 매우 취약하다는 의미다.

보안 시스템이 미흡한 인터넷 페이지나 커뮤니티들이 많아 SQL 인젝션은 가장 대중적인 해킹 수법이기도 하다.

미국의 보안조사기업 포네몬에 따르면 기업의 65%가 최근 1년간 SQL 인젝션 공격을 경험했다.

뽐뿌의 경우 홈페이지를 관리하는 보안 인력이 3명에 불과한 것으로 알려졌다. 이 때문에 뽐뿌 회원들은 가입자 200만명을 보유한 대형 커뮤니티의 허술한 홈페이지 실태에 분노하고 있다.

한국인터넷진흥원은 "SQL 인젝션 취약점은 입력값 검증 절차 문제에서 비롯되므로 개발단계에서부터 반드시 모든 입력값에 대해 적절한 검증절차를 설계하고 구현해야 한다"며 "웹서버 보안, 웹 방화벽 활용, 웹보안 취약점 점검 병행도 필요하다"고 설명했다.