'여기어때' 지난해 호텔객실 도어락도 해킹당했다

지난해 버그바운티가 찾아내 신고…조치받고도 또 해킹당해

© News1

(서울=뉴스1) 이수호 기자 = 숙박O2O업체 '여기어때'가 지난해 12월에도 개인정보가 유출돼 정부로부터 시정조치를 받은 사실이 확인됐다.

27일 보안업계에 따르면 지난해 12월 '여기어때'가 운영하는 '호텔 여기어때'의 도어락이 버그바운티(신고포상제)에 의해 해킹됐다. 버그바운티는 보안업체가 기업들의 보안취약성을 발견해 신고하는 제도로, 지난해부터 시행되고 있다.

버그바운티를 통해 객실 도어락의 보안취약성이 드러난 '호텔 여기어때'는 당시 미래창조과학부 산하 한국인터넷진흥원(KISA)으로부터 보안패치 조치를 받았다. '호텔 여기어때'는 이때 당한 해킹이 해커단체에 의한 것이 아니었기 때문에 큰 피해로 번지지 않았다.

업계 한 관계자는 "보안업체가 여기어때의 보안 결함을 찾아 KISA에 신고해 업체가 서둘러 패치에 나선 것으로 알고 있다"고 설명했다. KISA 관계자 역시 "여기어때 모바일 앱에서 정보유출 관련 신고를 받아서 해당업체에 보안패치를 지시했다"고 밝혔다.

'호텔 여기어때'는 호텔 직원들에게 직접 객실 키를 받지않고 앱을 통해 객실 도어락 비밀번호를 받아 입실한다. 직원과의 대면을 꺼리는 이용자들을 위해 사물인터넷(IoT) 기술을 활용한 서비스다.

지난해 11월 이 서비스가 출시된지 얼마되지 않아 버그바운티를 통해 객실 도어락을 해킹당했다는 점에서 지난 24일 발생한 '여기어때'의 개인정보 유출사건 역시 예고된 참사라는 게 보안업계의 지적이다. 해킹수법도 초보수준의 'SQL인젝션'에 의한 것으로 알려졌다.

보안관제업체 한 관계자는 "만약 해커집단에 의해 객실 도어락이 해킹당했다면 고객들의 스마트폰 내부정보까지 탈탈 털릴 수 있는 위험한 사건이었다"면서 "이 사건 이후에 또 개인정보가 유출됐다면 보안관리에 소홀했다고밖에 볼 수 없다"고 말했다.

lsh5998688@

[© 뉴스1코리아(news1.kr), 무단 전재 및 재배포 금지]