뽐뿌 사이트의 개인정보 유출 및 랜섬웨어 사태(1단계). 지연 대응으로 인한 피해 확산(2단계). 이후 운영진의 소통 미흡(3단계).
저는 문제 발생 요소(1단계)를 사전에 억제하는 것이 가장 중요하다고 생각하고, 그래서 예방책이 존재한다면 적극적으로 도입하는 방향으로 가는 것이 맞다고 생각합니다.
뽐뿌 대체 사이트로 가장 몸집을 키운 곳이 딜바다(DealBada)고, 지름(Zrm)의 방망한 운영에 반기를 들고 가지를 뻗은 곳이 쇼왕(ShowWang)인 것으로 알고 있는데, 지속적인 모니터링 결과 두 곳 모두 운영주체의 마인드가 문제 예방에는 별 관심이 없는 듯하여… 한 6개월쯤 지켜보다가 글을 써봅니다.
왜 쓰느냐?
문제 발생했을 때 운영자가 대응하기 전까지는 피해가 생기니까요. 피해를 입는 당사자는 결국 이용자니까요. 저도 딜바다 가입되어 있고, 가능성은 저한테도 열려 있으니까요.
뽐뿌? 처음에는 소통 잘 됐습니다(3단계). 그럼 뭐하나요? 자꾸 털리는데(1단계).
우선 딜바다(dealbada)부터.
뽐뿌처럼 링크주소를 변조한다는 점이 문제인데요, 링크프라이스 광고 때문이지요. 예를 들어
▲ 붉은 네모로 표시한 것처럼 눈에 보이는 쇼핑몰 링크를 클릭하면…
▲ blackfridays.kr ? 응??? 이런 링크를 한 번 거치고…
▲ 링크프라이스 광고를 다시 거친 다음에야 원래 쇼핑몰 링크로 진입이 됩니다.
링크주소 변조는 보안에 불리합니다. 일종의 납치 태그니까요. 사이트 주인이 납치태그 쓰면 헤헤~ 웃고, 해킹 시도한 사람이 납치태그 쓰면 화내고… 이건 이중잣대죠. 사용자 입장에서 납치태그는 무조건 안좋은 거예요. https 연결도 아니기 때문에 패킷 탈취당할 가능성이 항상 존재하는데, 납치태그에 익숙해지면 실제로 나쁜 사람이 납치태그 심었을 땐 “운영자가 심었나 보다~” 하고 멍때리다가 당하는 거죠.
차라리 글 작성자 분께서 링크프라이스 붙이고 그 사실을 밝히는 것은 이해가 됩니다. 정보 찾아서 글 쓰는 게 쉬운 일은 아니니까 작은 보답이 될 수 있을거라 생각해요(만약 변조링크로 문제가 생기면 해당 글 작성자를 접근금지 시키면 됨). 그런데 사이트 운영자가 링크프라이스 붙이는 것은 공감하기 힘듭니다. 컨텐츠 생산을 위해서 직접적으로 기여한 바가 없잖아요?
장기적으로 보면 애드센스 만으로도 서버 운영비 충분히 뽑습니다. 모자란다고요? 서버 운영비용 자체를 줄이면 충분히 가능합니다.
수익모델을 다변화하는 건 좋습니다. 사이트 규모가 커질수록 기회는 늘어날 거예요. 하지만 어떤 방식을 선택하든 보안성을 해치지 않는 범위 내에서 움직여야 하지 않을까요? 사이트 뚫리고 나중에서야 사과하고 입 싹 닫는 뽐X 커뮤니티와 같은 길은 걷지 말아야죠. 그게 싫어서 떨어져 나온 건데.
네이버 로그인도 보안적인 측면에서 할 말이 있긴 한데, 크게 문제되진 않을 것 같아서 어필하진 않겠습니다.
다음으로, 쇼왕(showwang).
먼저, 저는 지금 이야기하는 문제를 사이트 운영 초기에 자유게시판에 보고했다가 강제탈퇴 당했음을 밝힙니다.
올 해 2월 10일 경, 구글 크롬에서는 로그인 폼이 보이는 http 페이지에 “안전하지 않음” 문구를 표기하기 시작했습니다. 왜냐? 안전하지 않으니까. 실제로 구글크롬 개발자도구(F12)로 패킷 흐름 살펴보면… http 상태에서 계정정보 입력하면 ID랑 비밀번호가 노출된 채로 사이트 측에 전달되는 것을 확인할 수 있습니다. 사이트 서버 측에서는 계정정보를 수신한 시점에야 암호화해서 처리할 것인지를 결정하는데, 그마저도 암호화 체계가 없으면 그냥 저장ㅋ.
안전하지 않습니다. 사이트 운영자는 어떠한 경고문구도 삽입하지 않았습니다. SSL 적용도 안했습니다. 이쯤 되면 방치죠.
소셜 계정으로 로그인하면 된다고요? 해당 소셜사이트가 안전할 거라는 보장은 없습니다. 그리고… 해당 소셜사이트 측에 Way-Point를 제공한다는 것도 단점이죠. 해커한테 정보 털리는 거나 소셜사이트 측에 정보 상납하는 거나 다를 게 뭐가 있겠습니까.;;;
그냥 안전한 사이트만 이용하고, 사이트마다 비번 다르게 해서 쓰는 게 제일입니다. 그래서 저는 https://www.sobi.tips/pre-menu/notice/?wr_id=1 이렇게 공지를 남긴 적도 있습니다.
——————————————-
반복하지만, 둘 중 어느 사이트에 문제가 생기든 결국 피해자는 이용자 측이 될 확률이 높습니다.
아이러니한 건 불통으로 일관했던 뽐뿌가 현재는 가장 보안이 좋다는 거. -_-;;
그런데 뽐뿌는 운영방식에 모순이 많아서 정이 안 갑니다.
(Sobi.Tips가 이용자에게 나눠줄 게 많은 안전한 공간으로 거듭났으면 좋겠습니다.)
