JTBC의 BJ 영상 해킹 관련 보도 장면. 인터넷방송 아프리카TV가 최근 해킹으로 BJ 영상이 유출됐다는 일부 보도에 대해 "사실이 아니다"라고 공식 입장을 밝혔다.
아프리카TV는 24일 "서버가 해킹된 사실은 없다"며 "보도에서 해킹 수단으로 사용된다고 언급한 ‘관리자 코드’라는 것 자체가 존재하지 않다"고 말했다.
다만 아프리카TV는 "서비스에 쓰이는 프로토콜(통신 규칙)에 보안 취약점이 있다는 사실을 발견했다"며 "해당 취약점을 악용하면 비밀번호가 걸린 방송이라도 외부에서 시청이 가능한 것으로 밝혀졌다. 본의 아니게 피해를 입은 BJ께 사과드린다"고 했다.
아프리카TV는 실시간으로 동영상을 보낼 때 RTMP와 HLS라는 두 가지 표준 프로토콜을 쓴다. 이 가운데 RTMP 프로토콜에 외부에서 비밀번호를 우회할 수 있는 취약점이 있다.
회사 측은 "이를 악용해 비밀번호가 걸린 방송을 영상 캡처한 후 유포한 것으로 보인다"고 말했다.
이에 아프리카TV는 후속 조치를 취했다. 23일 오후 5시경 RTMP 프로토콜 사용을 전면 중단했고, HLS 프로토콜의 보안 취약점 진단에 들어갔다. 또 비밀번호 방송에 추가 보안 이슈가 있는지 추가 점검에 착수했다.
아프리카TV는 앞으로 동영상 전송 프로토콜 이외에 보안 취약점을 점검하고 서비스 전반의 보안 수준을 높일 수 있는 방안을 강구하겠다고 했다.
앞서 22일 JTBC는 아프리카TV 여성 진행자가 옷을 갈아입거나 옷매무새를 고치는 등 방송 전 BJ들의 일상생활이 담긴 장면이 유출됐다고 보도했다. 해킹 사이트 회원들이 아프리카TV 서버에 드나들 수 있는 관리자 코드를 공유하며 해당 영상들을 녹화한 것으로 추정했다.
권오용 기자 bandy@joongang.co.kr