본문 바로가기
Dim영역

숙박 앱 '여기어때'서 유출된 개인정보 99만건…취약한 홈페이지 때문

스크랩 글자크기

글자크기 설정

닫기
인쇄 RSS
해킹과정 개요(사진=미래부)

해킹과정 개요(사진=미래부)

AD
원본보기 아이콘


[아시아경제 안하늘 기자]숙박 애플리케이션(앱) '여기어때'에서 회원가입정보 등 개인정보 99만건이 해킹을 통해 유출된 것으로 조사됐다. 해커는 서비스 관리 웹페이지에 접속하는 등 홈페이지상 취약점이 있었던 것으로 나타났다.
26일 미래창조과학부와 방송통신위원회는 지난 3월 7일에서 3월17일까지 발생한 위드이노베이션 개인정보 유출 침해사고 관련 '민관합동조사단(이하 조사단)'의 조사 결과를 이 같이 발표했다.

이번 조사는 위드이노베이션 서비스 여기어때 이용고객을 대상으로 총 4817건의 협박성 음란문자(SMS)가 발송됨에 따라 확인된 개인정보 유출 침해사고에 대한 신속한 대응과 사고 원인 분석을 통한 유사 피해 재발 방지 등을 위해 실시됐다.

조사단은 확보한 사고 관련자료(웹서버 로그 1560만건, 공격서버ㆍPC 5대) 분석 및 재연을 통해 해킹의 구체적인 방법 및 절차, 개인정보 유출규모 등을 확인했다.
조사 결과 해커는 '여기어때 마케팅센터 웹페이지'에 SQL 인젝션 공격을 통해 DB에 저장된 관리자 식별값을 탈취했고, 외부에 노출된 '서비스 관리 웹페이지'를 관리자 권한으로 우회 접속해(세션변조 공격) 예약정보, 제휴점정보 및 회원정보를 유출한 것으로 조사됐다.

해커는 서비스 관리 웹페이지에서 제공하는 메뉴를 이용해 제휴점정보(EXCEL) 및 예약내역(CSV)은 파일로, 회원가입정보는 화면조회를 통해, 개인정보(중복제거) 총 9만9584건을 유출했다.

위드이노베이션 홈페이지에는 비정상적인 DB 질의에 대한 검증절차가 없어 SQL 인젝션 공격에 취약한 웹페이지가 존재했으며, 탈취된 관리자 세션값을 통한 우회접속(세션변조 공격)을 탐지ㆍ차단하는 체계가 없는 것으로 확인됐다.

조사단은 위드이노베이션 침해사고 조사과정에서 발견된 문제점을 개선ㆍ보완할 수 있도록 조사결과 및 개선사항 공유 등 보안강화 기술지원과 함께 위드이노베이션 홈페이지 대상으로 취약점 점검을 실시했다. 또 지난 인터파크 개인정보 대량 유출시 효율적으로 대응하기 위해 방통위에서 마련한 '개인정보 유출 대응 매뉴얼'에 따라 유출 신고 및 전파, 유출통지, 이용자 피해방지를 위한 대책 수립 등이 이뤄지도록 조치했다.

또 미래부는 민감한 정보를 다루는 200여개 오프라인 투 온라인(O2O) 서비스 기업에 대해 유사 피해를 차단하고 보안성을 높이기 위하여 기업의 신청을 받아 보안취약점 점검 및 기술지원을 4월 13일부터 실시했다. 스타트업 등 중소기업을 대상으로 홈페이지 웹서비스 및 소스코드 취약점 점검, 디도스사이버대피소, 웹방화벽(캐슬) 등 보안도구 보급, 보안컨설팅 등 맞춤형 정보보안 지원을 강화할 계획이다.

방통위는 해당 업체의 개인정보 보호조치 위반 사항에 대해서는 '정보통신망 이용촉진 및 정보보호 등에 관한 법률'에 따라 과징금 부과 등 행정처분할 예정이며, 조속한 시일 내에 관련 업계를 대상으로 개인정보보호를 위한 교육 및 기술적·관리적 보호조치 준수 여부에 대한 일제 점검을 추진할 계획이다.

송정수 민관합동조사단 단장(미래부 정보보호정책관)은 "정보보호 투자는 기업의 연속성 확보를 위한 선택이 아닌 필수사항으로 기업 스스로 정보보호 투자 확대와 인식제고 노력이 필요하다"라며 "정부도 스타트업 등 중소기업을 대상으로 기본적인 정보보호 체계를 갖출 수 있도록 지원을 확대해 나가겠다"고 밝혔다.





안하늘 기자 ahn708@asiae.co.kr
AD

<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>

함께 본 뉴스

새로보기

이슈 PICK

  • 이종섭 호주대사, 임명 25일만에 사의…윤 대통령 재가할 듯 [포토] 12년만에 서울 버스파업 "웰컴 백 준호!"…손흥민, 태국전서 외친 말…역시 인성갑

    #국내이슈

  • "애플, 5월초 아이패드 신제품 선보인다…18개월 만" 디즈니-플로리다 ‘게이언급금지법’ 소송 일단락 '아일 비 미싱 유' 부른 미국 래퍼, 초대형 성범죄 스캔들 '발칵'

    #해외이슈

  • 올봄 최악 황사 덮쳤다…주말까지 마스크 필수 [이미지 다이어리] 누구나 길을 잃을 때가 있다 푸바오, 일주일 후 中 간다…에버랜드, 배웅시간 만들어

    #포토PICK

  • 첨단사양 빼곡…벤츠 SUV 눈길 끄는 이유 기아, 생성형AI 탑재 준중형 세단 K4 세계 첫 공개 벤츠 G바겐 전기차 올해 나온다

    #CAR라이프

  • [뉴스속 용어]국가 신뢰도 높이는 선진국채클럽 ‘WGBI’ [뉴스속 용어]코코아 t당 1만 달러 넘자 '초코플레이션' 비상 [뉴스속 기업]트럼프가 만든 SNS ‘트루스 소셜’

    #뉴스속OO

간격처리를 위한 class

많이 본 뉴스 !가장 많이 읽힌 뉴스를 제공합니다. 집계 기준에 따라 최대 3일 전 기사까지 제공될 수 있습니다.

top버튼