컨텐츠 바로가기

03.19 (화)

개인정보유출 '여기어때', 고객정보 잘 보호했나

댓글 첫 댓글을 작성해보세요
주소복사가 완료되었습니다
[이데일리 이유미 기자] 숙박앱 ‘여기어때’를 운영하는 위드이노베이션에서 고객정보 유출 사고가 발생했다. 정확한 사고경위를 조사 중에 있지만 보안체계의 허술함에 대해 지적의 목소리도 나온다.

이데일리

24일 위드이노베이션은 4000명 가량의 고객정보가 해킹당했다고 밝혔다. 해커는 여기어때 데이터베이스(DB)에 침입해 고객 정보를 유출했으며 피해자에게 성적 수치심이나 불쾌감을 유발하는 내용의 문자를 보냈다.

또 해커는 위드이노베이션 측에 메일을 통해 비트코인을 요구했다.

해커는 중국IP를 사용한 것으로 알려졌지만 정확한 발원지에 대해서는 현재 조사를 진행 중이다.

이번 해킹사고에 대해 여기어때의 허술한 보안체계에 대한 비판도 제기되고 있다. 여기어때 해킹에 사용된 방식은 ‘SQL인젝션’ 공격으로 그동안 많이 드러났던 해킹 방식이다. DB 공격은 대부분 SQL인젝션 공격에 의한 것이다.

한국인터넷진흥원 관계자는 “SQL인젝션 공격은 가장 약한 공격으로 알려졌다”면서 “SQL을 입력할 때 특수 문자를 사용하지 못하게 하는 등의 방법으로 방어를 강화할 수 있는데 뚫렸다”고 설명했다.

다만 SQL 공격 구문을 봐야 정확한 해킹 방식을 알 수 있다는 의견도 있다.

최상명 하우리 CERT 실장은 “SQL을 영어라고 생각하면 영어를 잘하는 사람도 있고 못하는 사람도 있듯이, SQL 구문을 봐야 해킹의 공격 수준을 정확히 알 수 있다”고 말했다.

또 개인정보 DB 암호화 조치도 미약했던 것으로 파악된다. 고객의 민감한 정보를 다루는 기업에서는 혹시나 모를 유출 사고에 대비해 고객DB를 암호화한다. 고객 정보가 유출되더라도 해커가 이를 알아볼 수 없도록 하기 위해서다.

한국인터넷진흥원 관계자는 “여기어때는 DB를 암호화하지 않은 것으로 파악된다”면서 “암호화가 됐다면 해커들이 고객 정보를 가져갔어도 알기 어려웠을 것이라고 생각된다”고 밝혔다.

위드이노베이션 측은 “고객정보를 DB화 한 것으로 알고 있다”면서 “현재 사건을 수사하고 있기 때문에 수사가 마무리돼야 정확한 경위를 알 수 있다”고 해명했다.

<ⓒ종합 경제정보 미디어 이데일리 - 무단전재 & 재배포 금지>

기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.