"사드 보복이라더니..." 여기어때 해킹, 금품 노린 해커의 초급 해킹 추정

여기어때 해킹 이후 이용자들의 불안감이 커지고 있다. 사진은 여기어때 플레이 스토어 리뷰에 적힌 사용자 의견.

[스포츠서울 이상훈기자] 중소형 숙박 O2O 기업인 여기어때가 24일 해킹을 당한 사실이 알려지면서 여기어때의 보안에 빨간불이 켜졌다. 해커들이 여기어때의 데이터베이스(DB)에 접속해 4000여 건의 회원 이름과 전화번호, 이메일 주소, 예약숙소를 유출한 것으로 알려졌기 때문이다.

이 사실을 최초 보도한 노컷뉴스는 “여기어때 해킹이 중국 사드 보복의 일환으로 보인다”고 보도했다. 이 매체는 또 “중국에서 한국 관광 등을 금지하면서 여기어때 같은 숙박 O2O들도 매출에 타격을 입는 가운데, 해킹까지 하면서 그야말로 사드 보복의 ‘직격탄’을 날렸다는 분석이다”라고 전했다.

하지만 뒤이어 중국에서의 해킹을 언급한 것이 여기어때가 해킹 사건을 조속히 진화하고자 성급히 예단한 것 아니냐는 비난 여론이 대두됐다. 중국 IP를 통해 접속했다는 사실만으로 중국 해커, 나아가 사드 배치로 인해 촉발된 반한정서로 인한 행동으로 보기에는 ‘근거’가 부족하기 때문이다.

우선 많은 해커들이 위치 추적을 피하기 위해 IP를 우회하는 방식을 사용하고 있다. 상당수의 해킹 사례들이 중국 IP를 이용하고 있다. 따라서 중국에서의 접속 경로만을 가지고 중국이라고 단정짓기 어렵다.

또 다른 이유로, 해커가 여기어때 회원정보 탈취 후 비트코인이라는 가상화폐를 요구하는 이메일을 보낸 것으로 알려졌다. 비트코인은 계좌 추적이 어려워 해커들이 종종 요구한다. 현재 중국의 해커들이 정치적 갈등을 이유로 해킹을 하는 경우가 여럿 확인됐으나 이 경우에는 금전요구보다는 자신들의 정치적 성명을 내는 식의 해킹이 주를 이뤘다. 여기어때 사례를 사드 보복성으로 보기에는 정치적 메시지도, 요구도 없고 단순히 금전을 요구한 것으로 보인다.

다만 중국의 사드 보복성 해킹으로 의심된다는 내용의 보도가 나오자 한국인터넷정보진흥원(KISA)과 경찰에서 수사에 착수했다. 보안에 정통한 관계자는 “웹 로그를 분석해 경로를 추적하는데 하루이틀 만에 단정지을 만한 결론을 내기 어렵다”고 설명했다.

이번 해킹 사건에서 해커가 사용한 방식은 ‘SQL인젝션’으로 확인됐다. ‘SQL인젝션’은 해커가 주소창이나 아이디·비밀번호 입력창에 명령어를 입력하고 웹사이트에 침투, 서버에서 정보를 탈취하는 방식이다. 하지만 이는 비교적 난이도가 쉬운 해킹 방법이다. 이는 거꾸로 여기어때 사이트의 해킹이 어렵지 않다는 의미다.

이미 보안시장에서는 ‘SQL인젝션’에 따른 피해 사례가 많아 관련 보안 기능을 오랫동안 강화해왔다. 따라서 여기어때의 이번 해킹은 가입자 수 400만명이라는 양적 성장을 거둔 IT 기업이 비교적 ‘유행 지난 초보 수준 해킹’에 당했다는 데서 논란이 되고 있다.

여기어때를 해킹한 해커가 ‘SQL인젝션’이라는 초보적인 수법으로 해킹한 것이 알려지면서 네티즌들의 비난이 일고 있다.

여기어때는 해킹인지 시점부터 전 임직원이 동원돼 비상운영체제를 가동하고 있으며 2차 피해를 방지하기 위해 긴급대응 TF팀 구성, 침해 예상 경로점검, 보안장비 추가 도입 등 기술, 관리적으로 보안통제 대책을 강화했다고 밝혔다.

현재 알려진 해킹 피해자(협박문자 등을 받은 피해자 숫자)는 4000여 명. 얼핏 숫자가 많지 않은 듯하지만 문자메시지(SMS) 인증과정까지 해킹 당한 만큼 추가 피해자가 발생할 가능성도 배제할 수 없다. 한 업계 관계자는 “인증절차까지 통째로 해킹한 해커가 400만명 가까이 되는 회원정보의 0.1%만 가져갔다는 것 자체가 상식적으로 납득이 되지 않는다”며 “추가 피해가 발생할 가능성이 있는 만큼 보다 철저한 보안정책을 마련해야 할 것”이라고 말했다.
party@sportsseoul.com

[기사제보 news@sportsseoul.com]
Copyright ⓒ 스포츠서울&sportsseoul.com