광고에 쓴 돈 10%라도 보안 좀 챙기지
 |
/조선DB |
‘안녕하세요, ○○○님. 지난 2월 26일 00모텔(지명과 숙박업소 이름)에서 1박 즐거우셨나요?’
지난 23일 이런 내용의 문자메시지가 4000여 명에게 뿌려졌습니다. 숙박업소 예약 서비스를 제공하는 스마트폰 앱 ‘여기어때’ 이용자의 개인 정보가 해커에게 뚫린 것입니다. 이 해커는 여기어때 관리 서버(대형 컴퓨터)에 침투해 고객 이름, 이메일, 연락처, 숙소 정보 등을 빼간 뒤 이런 협박성 문자를 보냈습니다. ‘황홀한 ×하셨나요’와 같이 일부 문자에는 음란한 표현까지 섞여 있었습니다.
이 앱을 운영하는 위드이노베이션의 관계자는 “해커가 수억원의 금품을 요구하는 이메일을 보내왔다”며 “경찰에 신고하고 조사에 협조하고 있다”고 말했습니다. 하지만 이 회사는 300만명이 넘는 ‘여기어때’ 이용자 중에서 얼마나 많은 고객 정보가 유출됐는지 정확한 피해 규모조차도 파악하지 못하고 있습니다.
이번 해킹을 두고 일부에서는 ‘중국 해커의 소행’이라는 주장이 나옵니다. 최근 중국 해커 집단 훙커(紅客)연맹이 우리나라의 사드(THAAD·고고도 미사일 방어 체계) 배치에 반발해, 한국 웹사이트를 공격하자는 글을 올렸기 때문입니다. 해커의 IP주소(컴퓨터의 위치)가 중국이기도 합니다.
하지만 보안 전문가들은 “사드 보복으로 단정 지을 수 없다”고 합니다. 고려대의 김승주 교수(정보보호대학원)는 “많은 해커가 해킹할 때 중국으로 우회하기 때문에 IP주소만으로 해커를 중국인이라고 볼 수 없다”고 말했습니다. 단순 금품을 노린 범죄일 가능성도 적지 않습니다.
문제는 민감한 사생활 정보를 다루는 ‘여기어때’가 낮은 수준의 해킹 시도에 쉽게 뚫렸다는 것입니다. 이번에 쓰인 여러 공격 방법 중 하나인 ‘SQL인젝션’은 아주 흔한 웹사이트 해킹 방식입니다. SQL인젝션은 아이디와 패스워드를 넣는 창에 특정 명령어를 입력해 서버로 침투하는 방식입니다. 게다가 이 회사는 기본적인 정부 보안 인증조차 받지 않은 것으로 나타났습니다.
‘여기어때’는 유명 연예인이 등장하는 TV 광고를 지속적으로 내보내며 마케팅에 많은 돈을 쓰고 있습니다. 자극적인 TV 광고에 들인 노력의 10분의 1만 정보 보안에 썼더라면 이런 사태를 막았을 것입니다.
[성호철 기자]
- Copyrights ⓒ 조선일보 & chosun.com, 무단 전재 및 재배포 금지 -
이 기사의 카테고리는 언론사의 분류를 따릅니다.
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
