해킹 수단은 기초적인 수준의 보안 공격인 SQL 인젝션으로 밝혀졌다. 이는 로그인 창이나 검색창 등에 악의적인 명령어를 입력하면, 시스템이 이를 정상 요청과 구분하지 못하고 그대로 처리해 내부 데이터베이스에 접근하게 만드는 방식이다. 이는 2000년대 초반부터 알려진 고전적인 공격 기법으로 기본적인 보안 설정만으로도 충분히 막을 수 있는 방식인데 협회는 이를 막지 못했다.

심지어 협회는 비밀번호나 주민등록번호와 같은 민감 개인정보를 암호화하지 않은 평문으로 저장한 것으로 나타났다. 정보보호에 대한 최소한의 안전장치조차 마련하지 않은 상태로 해킹이 없었더라도 이미 중대한 보안 사고로 이어질 수 있는 구조였다는 지적이 나온다. 협회는 유출이 확인된 이후인 5월23일이 돼서야 뒤늦게 암호화 작업을 진행한 것으로 알려졌다. 

무엇보다 유출된 회원 수나 전체 피해 규모도 이번 공지문에 포함되지 않았다. 사고 발생 이후 두 달이 지났는데 피해 규모조차 명확히 공개하지 않은 것은 정보 공개의무를 소홀히 했다는 비판을 피하기 어려워 보인다. 피해자 입장에서는 자신이 유출 대상인지조차 판단할 수 없어 불안을 키울 수밖에 상황이다.

https://www.ngetnews.com/news/articleView.html?idxno=533067

기본적인 주민번호 암호화나 시스템 보안 설정 전무라

걍 존나 다 털림

근데 유출 인지 두달 후 공지하고

어떻게 해주겠다도 딱히 없음 ㅅㅂ