4chan 해킹 사건 분석: 오래된 PHP 코드가 불러온 보안 재앙

그날, 인터넷이 조용해졌다 – 4chan이 멈췄다

2025년 4월 16일 아침, 평소처럼 커뮤니티 몇 개 둘러보려고 4chan에 접속했는데... 안 들어가지는 거예요. 처음엔 서버 점검인가 싶었는데, 분위기가 뭔가 이상했죠. 나중에 알고 보니, 소이잭파티라는 이름부터 웃긴 커뮤니티가 해킹을 해버린 겁니다.

놀라운 건 방식이었어요. 비번 훔치거나 사람 속이는 그런 게 아니라, 영화에서 해커들이 코드 막 치다가 뚫는 그런 진짜 해킹! 오래된 코드 하나 찔러서 시스템을 뚫었다는 얘기를 듣고 ‘헉’ 했습니다.

• 2025년 4월 16일, 4chan이 갑작스레 마비되며 전 세계가 주목
• 해킹 주체는 소이잭파티라는 라이벌 커뮤니티
• 비밀번호 도용이나 사회공학이 아닌 실제 보안 결함을 이용한 해킹

 

---

 

사라진 줄 알았던 게시판, 다시 등장하다

근데 이 해커들, 단순히 들어가기만 한 게 아니었어요. 2021년에 폐쇄됐던 QA 게시판을 다시 살려서, 거기에 “해킹당했다”는 말까지 써놓은 거예요. 그냥 “나 여기 들어왔어!” 라는 인증 느낌이랄까요?

저도 한때 QA 게시판을 구경했었는데, 거긴 진짜 별별 얘기 다 올라오고 혼돈 그 자체였어요. 원래는 질문답변용이었는데 밈이랑 싸움, 관리자 욕으로 뒤덮였었죠. 그래서 없어진 줄 알았는데, 다시 나타난 걸 보니 무섭기도 하고 웃기기도 하고...

• 해커들은 폐쇄된 QA 게시판을 복원해 "해킹당했다"는 메시지 공개
• QA는 과거 밈과 갈등으로 폐쇄된 문제 게시판
• 이들의 행동은 단순 장난이 아니라 커뮤니티 내 갈등의 재현

 

---

 

개인정보 유출이라니… 자니터들 어쩌나

 

개인정보 유출이라니… 자니터들 어쩌나

이번 해킹에서 가장 찝찝했던 부분은요, 자니터들의 이메일과 IP 주소가 통째로 유출됐다는 겁니다. 자니터는 말 그대로 디지털 청소부 같은 존재인데, 이들의 관리 내역까지 다 공개된 거죠.

그리고 진짜 충격이었던 건, 차단당한 이유가 사용자한테 보여지는 거랑 관리자가 보는 게 다르다는 사실... 뭐랄까, 갑자기 유튜브에서 이유 없이 영상 날아갔던 기억이 떠오르더라고요. 이유 안 알려주는 그 느낌. 여기도 똑같았던 거예요.

• 하위 관리자들의 이메일 및 IP 정보가 외부에 유출됨
• 내부 관리 대화와 시스템 노트도 함께 공개됨
• 사용자에게 보여지는 차단 사유와 관리자용 사유가 다르다는 점 밝혀짐

 

---

 

도대체 어떻게 뚫린 거냐고? 그냥 오래돼서요…

 

도대체 어떻게 뚫린 거냐고? 그냥 오래돼서요…

어떻게 들어갔는지 궁금하시죠? 너무 허무할 정도로 허술했어요. 4chan에서 PDF 파일을 올릴 수 있는데, 파일 진짜인지 확인을 안 했던 거예요.

그래서 해커들은 PostScript 파일을 PDF인 척 올리고, 그걸 처리하는 Ghostscript란 도구가 2012년 버전이라 뚫린 거죠. 무슨 말인지 잘 모르겠다고요? 그냥 옛날 버전 프로그램이 보안 구멍 뻥 뚫려 있었고, 해커가 거기로 들어갔다는 겁니다.

• PDF 업로드 기능에서 파일 형식 검증을 하지 않음
• 해커들은 PostScript 파일을 이용해 Ghostscript 도구를 공격
• 2012년 버전 Ghostscript의 취약점을 통해 관리자 권한을 얻음

 

---

 

CVE 데이터베이스가 뭐길래?

CVE라는 건 쉽게 말해 ‘소프트웨어 흠 목록집’ 같은 거예요. 어디가 약한지 정리해둔 공개 자료죠. 저도 블로그 쓸 때 가끔 찾아보는데, 생각보다 쓸모 많아요.

근데 이걸 운영하는 데 돈이 드니까, 미국 정부가 예산을 끊는다고 했던 거예요. 타이밍이 정말 웃긴 게, 이 사건 직후에 갑자기 예산 다시 준다고 발표한 거 있죠. 진짜 드라마처럼 말이에요.

• CVE는 보안 취약점을 모아둔 중요한 글로벌 데이터베이스
• 미국 정부가 예산 지원 중단을 발표했으나 바로 번복함
• 이번 해킹 사건과 시기가 겹쳐 CVE의 중요성이 부각됨

 

---

 

이게 아직도 쓰이고 있다고요...?

해커들이 보여준 4chan의 시스템 상태는 정말 충격 그 자체였어요. PHP 2016년 버전, 운영체제는 2014년 거고, 데이터베이스도 옛날 스타일...

이런 시스템으로 1,000만 명 넘는 차단 유저 데이터를 돌리고 있다는 게, 그냥 믿기 힘들더라고요. 마치 윈도우 XP로 은행 돌리는 느낌이랄까.

 

---

 

우리 몰랐던 감시 – 생각보다 가까이 있었다

 

우리 몰랐던 감시 – 생각보다 가까이 있었다

그리고 또 하나 무서웠던 건, 4chan이 사용자 브라우저를 엄청 디테일하게 추적하고 있었다는 거예요. 저도 약간 충격이었는데, 그냥 접속만 했을 뿐인데 이렇게까지 정보를 뽑아가는 줄 몰랐어요.

물론 스팸 막으려는 목적이라고 하지만, 사용자 입장에서는 살짝 소름이더라고요.

• 4chan은 사용자 브라우저 정보를 정밀하게 추적함
• 이는 스팸 방지나 차단 회피 방지를 위한 것으로 보임
• 일반 사용자에게는 알려지지 않았던 사실이 이번에 드러남

 

---

 

4chan 안 쓰더라도 이건 우리 모두 얘기예요

4chan에 들어가 본 적 없어도요, 이 사건은 절대 남 일 아니에요. 제가 아는 작은 커뮤니티도 몇 년째 서버 안 바꾸고 그대로 쓰고 있거든요. 생각만 해도 무섭죠.

 

낡은 소프트웨어는 진짜 시한폭탄이에요.

 

기억도 안 나는 옛날 코드가 지금도 돌아가고 있고, 그게 언제 터질지 아무도 모른다는 거. 4chan이 보여줬어요.

• 4chan 이용자가 아니더라도 교훈을 줄 수 있는 사건
• 낡은 기술은 큰 보안 위협으로 이어질 수 있음
• 이번 사례는 모든 웹사이트에 적용 가능한 경고

 

---

 

타임스케일? 이름은 처음 들어봤지만…

이번 사건 보고 나니까, “내가 만약 서버 돌린다면 어떤 걸 써야 할까?” 하는 생각이 들더라고요. 그래서 타임스케일(Timescale)이라는 걸 알아봤어요.

이건 PostgreSQL 기반이라 익숙한데, 시간 기반 데이터랑 실시간 분석에 진짜 강하대요. 오픈소스고 설치도 쉽고, 클라우드도 된대요. 그냥 요즘 시대에 딱 맞는 도구 같았어요.

• Timescale은 PostgreSQL 기반의 고성능 오픈소스 DB
• 대용량 시간 기반 데이터와 실시간 분석에 최적화됨
• 간편한 설치와 클라우드 호환으로 높은 실용성 제공

 

---

 

마무리 – 해킹은 영화 속 이야기만이 아니다

이 사건 보면서 그런 생각이 들었어요. 해킹이라는 게 정말 영화에나 나오는 일이 아니라는 거요. 진짜로, 현실에서도 일어나고, 그 여파는 너무 크다는 거.

만약 내가 웹사이트를 하나 운영하고 있다면요? 지금 당장 점검해보고 싶어질 거예요. 오래된 거라면 오늘이 바꿀 타이밍입니다.

• 단순한 해킹 사건이 아닌 시스템 관리의 중요성을 보여줌
• 오래된 시스템이 얼마나 위험한지 사례로 증명됨
• 웹사이트 운영자는 지금이 시스템 점검의 적기