위드이노베이션의 숙박업소 예약 소프트웨어(앱) 여기어때에 대한 개인정보 유출 사고 조사 결과가 26일 발표됐다. 아주 기본적인 보안 조치에도 미흡했다는 점이 드러났을 뿐만 아니라 유출된 정보 유형에 개인의 이메일, 휴대폰 번호 등도 포함돼 있어 추가 피해도 우려된다.
미래창조과학부와 방송통신위원회에 따르면 해커는 여기어때 마케팅센터 웹페이지에 ‘SQL 인젝션’ 공격을 가했다. 이 해킹은 데이터베이스(DB)에 어떠한 정보를 요구하는 질의 값(SQL 구문)을 조작해 정상적 자료 이외에 해커가 원하는 자료까지 빼내는 기법이다. 이를 통해 관리자의 권한을 탈취한 해커는 서비스 관리 웹서버에 관리자 권한으로 우회 접속, 정보를 빼갔다.
유출된 정보는 예약 정보, 제휴점 정보, 회원 정보 등 99만584건이다. 예약 정보에는 숙박일수와 예약자, 휴대폰 번호, 금액, 입ㆍ퇴실 시간 등이 포함돼 있고 회원정보에는 이메일 주소, 이름, 기기정보까지 들어가 있다.
한국인터넷진흥원(KISA)는 이번 해킹 공격이 아주 흔해 홈페이지를 제작할 때 항상 고려해야 하는 조치사항이라고 지적했다. 특히 유출 정보 중 이메일과 휴대폰 번호가 포함된 데에 주목했다.
KISA 관계자는 “이메일 주소는 페이스북 등 사회관계망서비스(SNS)에 연계된 경우가 있어 공격자가 페이스북을 직접 조회해 숙박 이용 정보를 이용한 협박성 글을 무단으로 등록하는 일도 발생할 수 있다”며 “휴대폰 번호의 경우 스미싱 등에 악용되거나 불법 대출 등에 사용될 수 있어 또 다른 피해가 우려된다”고 밝혔다.
미래부는 우선 위드이노베이션처럼 민감한 정보를 다루는 200여개 O2O 서비스 기업에 대해 보안 취약점 점검과 기술 지원을 실시하기로 했다. 중소기업을 대상으로 홈페이지 웹서비스 점검, 웹방화벽 등 보안도구 보급 등 맞춤형 정보보안 지원을 강화할 계획이다.
한편 방통위는 개인정보 보호조치를 위반한 위드이노베이션을 대상으로 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’에 따라 과징금을 부과할 예정이다.
맹하경 기자 hkm07@hankookilbo.com
기사 URL이 복사되었습니다.
댓글0