보안 업계는 위드이노베이션 뿐만 아니라 국내 대다수 기업 홈페이지의 취약점 관리가 제대로 이뤄지지 않아 대책 마련이 시급하다고 조언했다.
 |
26일 위드이노베이션의 개인정보 유출 침해사고 민,관합동조사단과 보안 업계에 따르면, 해커는 여기어때 마케팅 센터 웹페이지에 'SQL 인젝션(Injection)' 공격으로 데이터베이스(DB)에 저장된 관리자 고유 식별값을 탈취했다.
SQL 인젝션이란 데이터베이스(DB)에서 원하는 정보를 얻기 위해 입력하는 질의값을 조작해 정상적인 자료 외에 해커가 원하는 자료까지 유출할 수 있는 공격 기법을 말한다. SQL 인젝션은 웹 보안 분야에서 가장 흔한 취약점으로 분류된다. 개발자가 홈페이지를 제작할 때 항상 고려해야 할 조치 사항이기도 하다.
위드이노베이션 홈페이지에는 비정상적인 DB 질의에 대한 검증 절차가 없어 SQL 인젝션 공격에 취약한 웹페이지가 존재했다. 또 탈취된 관리자 고유 식별값을 통한 우회 접속을 탐지,차단하는 체계도 없었던 것으로 확인됐다.
해커는 탈취한 관리자 고유 식별값으로 외부에 노출된 서비스 관리 웹페이지를 관리자 권한으로 우회 접속했다. 이후 숙박 예약 정보, 제휴점 정보, 회원 정보를 유출했다.
유출된 숙박 예약 정보는 323만9210건으로, 휴대폰 기준 중복 사용자를 제거하면 91만705건으로 집계됐다. 유출된 회원 정보 17만8625건(이메일 기준 중복 제거 시 7만8716건)과 제휴점 정보 1163건을 포함하면 총 341만8998건(중복 제거 시 99만584건)의 정보가 유출됐다.
유출 정보 중 회원 정보에는 이메일 주소가 포함돼 있고, 페이스북 등 소셜 네트워크 서비스(SNS)와 연계된 경우도 있어 2차 피해로 이어질 수 있다. 유출된 휴대폰 번호는 숙박 예약 정보와 관련된 협박성 음란 메시지 발송에 쓰였다. 향후 불법 대출이나 스미싱 등에 악용될 가능성을 배제할 수 없다.
방송통신위원회는 위드이노베이션의 개인정보 보호조치 위반 사항에 대해 '정보통신망 이용촉진 및 정보보호 등에 관한 법률'에 따라 과징금 부과 등 행정처분을 내릴 예정이다.
조사단 관계자는 "위드이노베이션과 같이 민감한 정보를 취급하는 홈페이지의 경우 취약점 점검 및 조치를 적용하지 않은 경우가 많아 개인정보 유출 침해사고가 자주 발생한다"며 "홈페이지 제작 시 이러한 취약점을 미리 조치하지 않으면 사고는 필연적으로 재발할 수밖에 없다"고 말했다.
IT조선 노동균 기자 saferoh@chosunbiz.com
이 기사의 카테고리는 언론사의 분류를 따릅니다.
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
