'여기어때' 개인정보 99만건 유출 확인

입력 2017. 4. 26. 10:02
자동요약 기사 제목과 주요 문장을 기반으로 자동요약한 결과입니다.
전체 맥락을 이해하기 위해서는 본문 보기를 권장합니다.

숙박 검색 모바일 서비스 '여기어때'를 제공하는 ㈜위드이노베이션에서 고객 개인정보 99만건이 유출된 것으로 확인됐다.

미래창조과학부, 방송통신위원회, 한국인터넷진흥원, 민간 전문가 등으로 구성된 민·관 합동조사단은 지난달 7∼17일 발생한 위드이노베이션 개인정보 유출 침해사고를 조사해 피해 규모와 경위를 확인했다고 26일 밝혔다.

음성재생 설정
번역beta Translated by kaka i
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

민·관 합동조사단 발표..개인정보 보호실태 일제 점검키로

(서울=연합뉴스) 임화섭 기자 = 숙박 검색 모바일 서비스 '여기어때'를 제공하는 ㈜위드이노베이션에서 고객 개인정보 99만건이 유출된 것으로 확인됐다.

미래창조과학부, 방송통신위원회, 한국인터넷진흥원, 민간 전문가 등으로 구성된 민·관 합동조사단은 지난달 7∼17일 발생한 위드이노베이션 개인정보 유출 침해사고를 조사해 피해 규모와 경위를 확인했다고 26일 밝혔다.

[미래부·방통위 제공=연합뉴스]

조사단은 웹서버 로그 1천560만건과 공격에 이용된 서버·PC 등 컴퓨터 5대를 분석한 결과, 중복을 제거하고도 도합 99만584건의 개인정보가 유출됐음을 확인했다고 설명했다.

중복을 포함하면 개인정보 유출 건수는 340여만건에 이르렀다.

조사 결과, 해커는 여기어때 마케팅센터 웹페이지를 'SQL 인젝션'이라는 수법으로 공격해 데이터베이스에 저장된 관리자 세션아이디를 탈취했다.

SQL 인젝션은 데이터베이스에 대한 질의를 조작해 정상적 자료 이외에 해커가 원하는 데이터를 뽑아 내는 공격 기법으로, 허술하게 설계·관리되는 서비스를 해커가 공격할 때 흔히 쓰인다. 세션아이디는 웹 통신에서 접속·로그인한 사용자를 식별하기 위해 서버가 사용자별로 할당하는 고유 식별값이다.

해커는 이어 탈취한 관리자 세션아이디를 이용해 외부에 노출된 '서비스 관리 웹페이지'에 관리자 권한으로 우회 접속했으며, 이런 '세션 변조 공격'을 통해 예약정보·제휴점정보·회원정보 등을 빼 간 것으로 조사됐다.

해커는 서비스 관리 웹페이지의 메뉴를 이용해 제휴점정보가 담긴 엑셀 파일, 예약내역이 담긴 CSV 파일을 빼 갔으며, 회원정보는 화면조회를 통해 유출한 것으로 조사됐다.

조사 결과 위드이노베이션 홈페이지에는 비정상적인 데이터베이스 질의에 대한 검증절차가 없어 SQL 인젝션 공격에 취약한 웹페이지가 존재했다.

또 세션 변조 공격을 탐지·차단하는 체계도 없는 것으로 확인됐다.

미래부는 이번 사고를 계기로 민감한 개인정보를 다루는 200여개 O2O(온·오프라인 연계) 서비스 기업으로부터 신청을 받아 보안취약점 점검과 기술지원을 지난 13일부터 실시중이다.

방통위는 위드이노베이션의 개인정보 보호조치 위반 사항에 대해 정보통신망 이용촉진 및 정보보호 등에 관한 법률에 따라 과징금 부과 등 행정처분을 내릴 예정이다.

또 관련 업계를 대상으로 개인정보 보호를 위한 교육 및 기술적·관리적 보호조치 준수 여부에 대한 일제 점검도 추진할 계획이다.

[표] 위드이노베이션 개인정보 유출 내역

solatido@yna.co.kr

☞ 문재인 "이보세요"에 홍준표 "버릇없이"…대충돌
☞ 자궁·난소암 치료 새 무기 '정자 미사일' 나온다
☞ "골프채로 천장 쿵쿵…" 층간소음에 주먹다짐 하더니 결국
☞ '죽음의 라이브' 20대 남성, 어린딸과 동반자살 페북 생중계
☞ "묻어야 편해져"…다친 고양이 생매장한 경비원

▶연합뉴스 앱 지금 바로 다운받기~

<저작권자(c) 연합뉴스, 무단 전재-재배포 금지>

Copyright © 연합뉴스. 무단전재 -재배포, AI 학습 및 활용 금지

이 기사에 대해 어떻게 생각하시나요?