개인정보 99만건 유출 ‘여기어때’, 홈페이지 보안취약이 원인

[디지털데일리 최민지기자] 숙박 앱 '여기어때' 개인정보 유출사고는 홈페이지 보안취약점 때문에 발생한 것으로 결론이 났다.

26일 방송통신위원회(이하 방통위)와 미래창조과학부(이하 미래부)는 지난달 7일부터 17일까지 발생한 위드이노베이션(여기어때) 개인정보 유출 침해사고 관련 민,관합동조사단의 조사 결과를 발표했다.

조사결과 예약정보, 제휴점정보, 회원정보 등 총 99만584건에 달하는 개인정보가 유출된 것으로 나타났다.

해커에게 탈취된 예약정보의 경우 ▲숙박일수 ▲제휴점명 ▲객실명 ▲예약일시 ▲예약자 ▲회원번호 ▲휴대폰번호 ▲결제방법 ▲금액 ▲입,퇴실 가능시간 등이다. 제휴점정보는 ▲업체명 ▲은행명 ▲계좌번호 ▲예금주 ▲휴대폰번호 등이며, 회원정보는 ▲이메일주소 ▲이름 또는 닉네임 ▲기기정보 등이다.

해커는 여기어때 마케팅센터 웹페이지에 SQL 인젝션 공격을 통해 데이터베이스(DB)에 저장된 관리자 세션값을 탈취했다. SQL 인젝션은 DB에 대한 질의 값(SQL 구문)을 조작해 정상적인 자료 이외에 해커가 원하는 자료까지 데이터베이스로 부터 유출 가능한 공격기법이다. 탈취한 관리자 정보로 서비스 관리 웹페이지에 우회 접속할 수 있게 됐다.

이를 통해 해커는 서비스 관리 웹페이지에서 제공하는 메뉴를 이용해 제휴점정보(EXCEL) 및 예약내역(CSV)은 파일로, 회원가입정보는 화면조회를 통해 개인정보를 탈취했다.

위드이노베이션 홈페이지에는 비정상적인 DB 질의에 대한 검증절차가 없어 SQL 인젝션 공격에 취약한 웹페이지가 존재했다. 탈취된 관리자 세션값을 통한 우회접속(세션변조 공격)을 탐지,차단하는 체계도 없었다.

SQL 인젝션 공격은 가장 흔한 취약점이며, 홈페이지 제작 때 항상 고려해야 하는 조치사항이다. 국내 대부분의 영세기업을 포함한 중소기업, 대기업까지 거의 전 업종의 홈페이지에서 많이 발견되는 취약점으로 공격에 악용되는 경우가 많다. 홈페이지 제작 때 취약점을 미리 조치하지 않는다면 이러한 사고는 발생할 수밖에 없다.

유출된 개인정보에 대한 2차 피해도 우려된다. 가입자 정보에는 이메일이 포함돼 있고 페이스북 등 소셜네트워크서비스(SNS)에 연계된 경우가 있다. 공격자가 범용적으로 사용하는 페이스북 등을 직접 조회해 숙박이용 정보 등을 이용한 협박성 글을 무단 등록한다면 파급효과가 클 수 있다. 휴대폰 번호의 경우 스미싱 등에 악용되거나 불법 대출 등에 사용될 수 있어 이용자에 대한 또 다른 피해가 우려된다.

방통위는 해당 업체의 개인정보 보호조치 위반 사항에 대해 과징금 부과 등 행정처분할 예정이며, 조속한 시일 내 관련 업계를 대상으로 개인정보보호를 위한 교육 및 기술적,관리적 보호조치 준수 여부에 대한 일제 점검을 추진할 계획이다.

조사단은 위드이노베이션 침해사고 조사과정에서 발견된 문제점을 개선,보완할 수 있도록 조사결과 및 개선사항 공유 등 보안강화 기술지원과 함께 홈페이지 대상으로 취약점 점검을 실시했다.

민‧관합동조사단 단장을 맡은 송정수 미래부 정보보호정책관은 '정보보호 투자는 기업의 연속성 확보를 위한 선택이 아닌 필수사항으로 기업 스스로 정보보호 투자 확대와 인식제고 노력이 필요하다'며 '정부도 스타트업 등 중소기업을 대상으로 기본적인 정보보호 체계를 갖출 수 있도록 지원을 확대하겠다'고 말했다.

<최민지 기자>cmj@ddaily.co.kr

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -