[쿠키뉴스=김정우 기자] 숙박 O2O 앱 ‘여기어때’에 대한 해킹 공격으로 유출된 개인정보가 99만건을 넘어서는 것으로 나타났다. 회원 이메일과 숙박일수 등 상세한 이용자 정보부터 제휴 숙박업소 계좌번호까지 사실상 모든 종류의 정보가 빼돌려졌다.
방송통신위원회와 미래창조과학부는 지난달 발생한 여기어때 운영사 위드이노베이션 개인정보 유출 침해사고에 대한 민관합동조사단 조사 결과를 발표했다.
이번 조사는 위드이노베이션 서비스 이용자를 대상으로 총 4817건의 협박성 음란문자(SMS)가 발송됨에 따라 확인된 개인정보 유출 침해사고에 대한 대응과 원인 분석 등을 위해 진행됐다.
조사단은 웹서버 로그 1560만건, 공격서버‧PC 5대에 달하는 사고 관련자료를 확보하고 분석‧재연을 통해 해킹의 구체적인 방법과 절차, 개인정보 유출 규모 등을 확인했다.
확인 결과 해커는 ‘여기어때 마케팅센터 웹페이지’에 ‘SQL 인젝션’ 공격을 통해 DB(데이터베이스)에 저장된 관리자 세션값(서버에서 할당하는 사용자 식별값)을 탈취했다.
SQL 인젝션은 DB에 대한 질의 값(SQL 구문)을 조작해 정상적인 자료 외에 해커가 원하는 자료까지 유출 가능한 기법으로 보안업계에서는 가장 기초적인 공격법의 하나로 알려져 있다.
해커는 탈취한 관리자 세션값으로 외부에 노출된 ‘서비스 관리 웹페이지’를 관리자 권한으로 우회 접속하고(세션변조 공격), 예약정보, 제휴점‧회원 정보를 유출한 것으로 조사됐다.
이를 통해 해커는 서비스 관리 웹페이지에서 제공하는 메뉴를 이용해 제휴점정보(EXCEL)과 예약내역(CSV)은 파일로, 회원가입 정보는 화면 조회를 통해, 개인정보 총 99만584건(중복 제외)을 유출한 것으로 드러났다.
이 중 숙박일수‧결제수단과 같은 예약 정보가 91만705건, 제휴업체명과 계좌번호‧예금주‧전화번호 등이 1163건, 회원 이메일주소와 이름‧기기정보 등이 7만8716건이다. 이용자 입장에서는 여기어때 이용에 활용되는 대부분의 정보로 볼 수 있다.
위드이노베이션 홈페이지에는 비정상적인 DB 질의에 대한 검증절차가 없어 SQL 인젝션 공격에 취약한 웹페이지가 존재했으며 탈취된 관리자 세션값을 통한 우회접속(세션변조 공격)을 탐지 또는 차단하는 체계도 없는 것으로 확인됐다.
조사단은 위드이노베이션 침해사고 조사 과정에서 발견된 문제점을 개선‧보완할 수 있도록 조사 결과와 개선사항 공유 등 보안강화 기술지원과 함께 위드이노베이션 홈페이지를 대상으로 취약점 점검을 실시한다고 밝혔다.
또 과거 인터파크 개인정보 대량 유출 당시 효율적인 대응을 위해 방통위에서 마련한 ‘개인정보 유출 대응 매뉴얼’에 따라 유출 신고와 전파, 유출통지, 이용자 피해방지를 위한 대책 수립 등 조치도 이뤄졌다.
미래부는 민감한 정보를 다루는 200여개 O2O 서비스 기업의 신청 접수를 통해 보안취약점 점검과 기술지원을 이달 13일부터 실시했다. 스타트업 등 중소기업을 대상으로 홈페이지 웹서비스‧소스코드 취약점 점검, 디도스사이버대피소, 웹방화벽(캐슬) 등 보안도구 보급, 보안컨설팅 등 맞춤형 정보보안 지원을 강화할 계획이다.
방통위는 위드이노베이션의 개인정보 보호조치 위반 사항에 대해 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’에 따라 과징금 부과 등 행정처분할 예정이며 빠른 시일 내에 관련 업계를 대상으로 개인정보보호를 위한 교육과 일제 점검을 추진할 방침이다.
송정수 민관합동조사단 단장(미래부 정보보호정책관)은 “정보보호 투자는 기업의 연속성 확보를 위한 선택이 아닌 필수사항으로 기업 스스로 정보보호 투자 확대와 인식제고 노력이 필요하다”라며 “정부도 스타트업 등 중소기업을 대상으로 기본적인 정보보호 체계를 갖출 수 있도록 지원을 확대해 나가겠다”고 밝혔다.
tajo@kukinews.com
