‘여기어때’ 개인정보 99만건 유출…취약한 웹페이지 탓

[한국금융신문 김승한 기자] 방송통신위원회(이하 방통위)가 숙박 전문 앱 ‘여기어때’를 운영하는 위드이노베이션의 개인 정보 유출 침해사고에 대한 조사 결과를 26일 발표했다.

이 사고는 지난 7일부터 어기어때를 이용한 고객의 개인정보가 유출돼 4817건의 협박성 음란문자가 전송되면서 시작됐다.

방통위는 이번 개인정보 유출사고 발생 경위에 대해 홈페이지의 취약점을 노린 해커의 공격이며, 해커는 여기어때 마케팅센서 웹페이지에 SQL인젝션 공격을 해 DB에 저장된 관리자 세션값을 탈취했다고 밝혔다.
이어 해커는 탈취한 관리자 세션값을 이용해 고객의 예약정보와 제휴점 및 회원정보를 유출해 자신의 범죄에 이용했다. 이렇게 빼돌린 개인정보만 99만건이다.

해커가 위드이노베이션 홈페이지를 비교적 수월한 방법으로 공격할 수 있었던 것은 어기어때 홈페이지의 취약성 때문.

방통위 조사 결과에 따르면 어기어때 홈페이지는 질의에 대한 검증절차가 없어 SQL 인젝션 공격에 취약한 웹페이지가 존재하며, 탈취된 관리자 세션값을 통한 우회접속을 탐지ㆍ차단하는 체계가 없었다는 것이다.

방통위 관계자는 “해당 업체의 개인정보 보호조치 위반 사항에 대해서는 과징금 부과 등 행정처분할 예정이며, 개인정보보호를 위한 교육 및 기술적·관리적 보호조치 준수 여부에 대한 일제 점검을 추진할 계획”이라고 밝혔다.


김승한 기자 shkim@fntimes.com