위드이노베이션의 여기어때 서비스에서 숙박업소 입퇴실 가능시간, 객실명, 숙박일수 등 예약정보와 제휴점 및 회원 정보 등 총 99만584건의 개인정보가 유출된 것으로 나타났다.
개인정보 유출은 관리자 세션값이 외부로 노출되면서 해커가 관리자 권한으로 우회 접속하는 방식을 활용한 것으로 밝혀졌다.
미래창조과학부, 방송통신위원회는 여기어때를 운영하는 위드이노베이션의 개인정보 유출 침해사고와 관련해 이와 같은 민관합동조사단의 조사 결과를 26일 발표했다.
여기어때 서비스 이용자 대상으로 총 4천817건의 협박성 음란문자가 발송되면서 정부는 신속하게 민관조사에 착수하게 됐다.
조사단은 웹서버 로그 1천560만건, 공격서버와 PC 5대를 분석하고 재연을 통해 해킹의 구체적인 방법과 절차, 개인정보 유출규모 등을 확인했다.
우선 해커는 ‘여기어때 마케팅센터 웹페이지’에 SQL 인젝션 공격을 통해 DB에 저장된 관리자 세션값을 탈취했다. 탈취한 관리자 세션값으로 외부에 노출된 ‘서비스 관리 웹페이지’를 관리자 권한으로 우회 접속하고 예약정보, 제휴점정보, 회원정보를 유출한 것으로 조사됐다.
이를 통해 해커는 서비스 관리 웹페이지에서 제공하는 메뉴를 이용하여 제휴점정보(EXCEL) 및 예약내역(CSV)은 파일을 통째로 유출했다. 아울러 회원 가입정보는 화면조회를 통해 유출했다.
중복을 제외하고 유출된 개인정보는 총 99만584건으로 집계됐다. 휴대폰 기준 91만705건과 이메일 기준 7만8천716건의 중복 여부에 대해서는 방통위에서 추가로 조사 중이다.
여기어때의 보안체계가 매우 허술했기 때문에 이와 같은 개인정보 유출이 이뤄졌다는 지적이 나온다.
조사단은 “위드이노베이션 홈페이지에는 비정상적인 DB 질의에 대한 검증절차가 없어 SQL 인젝션 공격에 취약한 웹페이지가 존재했다”면서 “탈취된 관리자 세션값을 통한 우회접속을 탐지하거나 차단하는 체계가 없는 것으로 확인됐다”고 설명했다.
방통위는 여기어때의 개인정보 보호조치 위반 사항에 대해서는 정보통신망법에 따라 과징금 부과 등 행정처분을 내린다는 방침이다.
관련기사
- 불만족 후기 비공개한 여기어때-야놀자 과태료 처분2017.04.26
- 정부, ‘여기어때’ 개인정보 침해 원인 4월 공개2017.04.26
- 공든 탑 무너진 숙박앱, 다시 일어설까2017.04.26
- 민감 정보 유출 여기어때, 어떤 제재 내려질까2017.04.26
또 미래부는 여기어때의 개인정보 유출 사고를 계기로 200여개 O2O 서비스 기업의 보안취약점 점검에 나선 상황이다.
민관합동조사단 단장을 맡은 송정수 미래부 정보보호정책관은 “정보보호 투자는 기업의 연속성 확보를 위한 선택이 아닌 필수사항으로 기업 스스로 정보보호 투자 확대와 인식제고 노력이 필요하다”면서 “정부도 스타트업 등 중소기업을 대상으로 기본적인 정보보호 체계를 갖출 수 있도록 지원을 확대해 나가겠다”고 말했다.