너무 화가나서 제목에 욕설을 썻다가 너무 상스러워 보여서 고쳤습니다.

저는 지난번 5월 말쯤에 가상화폐가 언론을 타고 붐이 일었을 때, 코인투자를 해보자 하며

상투를 잡으면서 비트코인도, 스팀잇도 시작하게 되었습니다.

당시 가입을 했던 건 두개의 사이트인데 하나는 코인원이고 나머지는 빗썸입니다.

그런데 최근에 빗썸이 해킹을 당했다고 들었지만 거기에는 빗썸 가입 보상인

KRW 1000원밖에 안들어 있었기 때문에 큰 의미를 두지 않고, 제 아이디가 털렸는지 확인해보지 않았습니다.

---

그런데

그런데 오늘 컴퓨터로 다른일을 하고 있는데 갑자기 문자로 12시 44분에 빗썸에 누군가 로그인했다는 문자가 왓습니다.

그럼 저는 빗썸에 로그인 하지 않은지가 한달이 넘었고, 해커라고 밖에 볼 수 없지 않겠어요?

저는 당황한 나머지 빗썸으로 로그인 했습니다.

---

로그인

웃기는 건 해커는 비밀번호를 탈취했지만 제 이메일은 로그인 하지 못한 모양입니다.

둘이 패스워드가 다르거든요. 그래서인지 빗썸 패스워드는 그대로 였고 저는 바로

문자인증을 통해서 패스워드를 바꿨습니다.

그리고 보니까 빗썸 메인에 개인정보 유출 확인창이 있어서 눌러보니

하! 빗썸 개새끼들, 빗썸 좆까라고 하세요.

안 털렸는데 해커가 로그인 합니까?

이새끼들이 하는말이 어디까지가 사실인지 알수가 없습니다.

---

2%?

지네들 말로는 뭐 2%만 털렸다고 하는데, 이렇게 대놓고 구라치는데 믿을 수가 있나요.

사실 프로그래머니까 말씀드리지만 개인정보는 텍스트 정보라 몇 백만명이던 몇 천만명이던

압축해서 보내면 10메가도 안되요.

2%만 털렸다는 건, 2%만 따로 놨다는 건데 무슨 이유로 남의 개인정보를 2%만 추출해 놨을까요?

동의도 없이? 개소리죠

다른 이유라고 생각되는건 2%만 털렸다?

그럼 2%털어갔을때 재빨리 인지해서 해커의 접속을 막았다?

무슨 빗썸 보안팀이 영화에 나오는 해커도 아니고 100mbps깔린 한국 온라인 망에서 0.02초만에 인지해서 차단 할 수 있습니까?

그런 능력이 있으면 딱 봐도 데이터베이스 털린거 같은데 DB를 털렸겠어요?

( DB털린 건 거의 이쪽에서 내장까지 다 털렸다고 보시면 됩니다. )

아이디 패스워드 같은 개인정보는 별개파일로 안만들어요

---

개인PC

개인 PC가 털렸다고 하는 데 , 하나 구라치는데 두번째 믿을 수가 있습니까?

만약 개인 PC에 서버에 접속 가능한 ssh id/pw가 있었으면 서버가 털린거나 마찬가지죠.

개인 PC에 유저정보를 가지고 있었으려면 알맞은 시나리오는 이거밖에 생각이 안납니다.

일정 갯수의 유저정보를 뽑아서 그걸 이용해서 테스트 DB를 갖춰 놓았다거나 그런거죠.

근데 저는 그런약관 본 적도 없고, 서버가 털렸다는 걸 가리위한 헛소리처럼밖에 안들리네요.

어느 미친 개발자가, 테스트 DB면 테스트용 id만들어서 쓰면 되지 병신처럼

고객의 개인정보로 테스트 DB를 만들어서 씁니까 병신도 아니고, 아마 이것도 한국 법상으로 고객의 개인정보는 약관등의 동의 없이 사용하지 못하도록 되어있는 걸로 알고 있습니다.

혹시 빗썸 관계자가 반박 할 말 있으면 말하라고 해요.

개소리니까.

이번에 해커가 제 꺼로 로그인한 것을 보면 한국법상에는 패스워드 원문 그대로 저장할 수가 없고

DB에 암호화를 해서 저장하도록 하고 있는데

그것 조차도 안했던가 아니면

암호화방식을 이미 해커가 알아서 복호화 했던가 둘 중 하나입니다.

( 이 경우는 존나 쉬운 암호화 방법을 썻던가 아니면 암호화 방법이 적혀있는 소스까지 털렸다고 봐야죠 )

---

하여튼간 빗썸 가입하셨던 분들은 패스워드도 털렸다고 보시면 되겠네요.

같은 아이디에 같은 패스워드 쓰시던 사이트가 있으면 패스워드를 변경하실 것을 추천합니다.

---

추가로 빗썸이 공격을 디도스 공격을 당했다는데

저는 군 복무할때 군내에서 전산팀 Cert팀을 복무햇습니다.

서버관리 및 보안이죠. 이 Cert팀은 3년인가 5년인가 동안 군내에서 보안 관련으로 한걸 말하면 안되는

서약서 같은 걸 쓰는데 기한도 지났으니 이야기 해봅니다.

뭐 문제가 될만한 내용도 아니구요. 정보보호 전반에 관한 내용이니까요.

디도스 공격은 간단하게 말하면 해당서버에 접속을 엄청나게 많이 해서

서버가 제 동작을 하지 못하도록 죽이는 역할을 합니다.

그럼 서버가 죽으면 데이터가 털립니까?

---

여기에 맹점이 있습니다

디도스 공격으로 서버가 죽는거랑, 데이터가 털리는 것은 좀 다른 문제에요.

ips나 웹방화벽 등 기타 다른 장비를 죽이기위해서 ddos공격을 했다면 모르겠네요.

다른 정보보호 장비가 죽었을때 해킹기법을 적용했다!

그러면 그나마 말이 되지만

DDos!

암 그건 못막지, 디도스는 무적이니까. 이렇게 넘어갈만한 문제는 아닙니다.

( 저는 속으로 XSS나 sql인젝션 같은 알려진 초급기술에 당한거면 진짜 개새끼들일텐데
대처하는 양상을 보니 그럴수도 있겠다 하고 의심하고 있습니다. 뭐 따로 발표하는 걸 봐야 알겠지만요.)

---

그리고 디도스도 막을 수 있어요.

하지만 제가 알기로는 이런 DDos공격을 막는 장비는 몇 억대 하는 게 아닙니다.

월 40만원짜리 장비도 있는 걸로 알고 있어요. 그 이상짜리도 있구요.

하여튼 서버 하나를 다 사는 것처럼 존나 비싼 서비스가 아니란 말입니다.

---

결론

빗썸은 블록체인 기반 코인 거래소에 필요한 적정선의 정보보호 대책을 하지는 않은 것으로 보인다.

그 해커의 공격방식이 무엇이었는지는 찾지 못해서 확실히 알 수는 없으나.

• 패스워드를 해커가 알고있는점 ( 암호화 안했거나, 암복호화 방식 알려짐 )

• DDOS공격을 당했다고 하고 그걸로 넘어가려는 변명

• 실제로 당한 해킹기법을 제대로 밝히지 않는 부분

• 10만원 주겠다며 그딴 걸 보상이라고 하는 것

• 해킹 당한 사람들을 속이며 피해를 가려서 없는 척하는 부분

• 2%나 직원 피씨라며 말도 안되게 피해를 줄여서 표현하는 부분

• 직원이 데이터를 털린 그 개인정보가 왜 거기있었는지에 대한 설명이 없는 점.

• 탈퇴나 탈회( 계정과 데이터 모두 삭제후 완전히 탈퇴하는거 )를 제대로 안내하지 않는 점

이상 8가지를 봤을 때, 적절한 정보보호 조치를 갖추지 못한 사이트 였으며, 대처도 개판이다.

그리고 피해량이 축소되어있을 수 있다는 점 말씀드립니다.

이 회사와 사이트는 망해야 알맞으며

아직도 패스워드를 바꾸지 않은 분들이 있다면 큰 경제적 피해가 올 수 있으니 바로 변경하시길

빕니다.