여기어때, 유출된 개인정보 100만건 육박…`책임 통감, 처분 겸허히 수용`

여기어때, 유출된 개인정보 100만건 육박…"책임 통감, 처분 겸허히 수용"

｜ 2017-04-26 16:17:26

가

최근 숙박O2O '여기어때'에서 발생한 고객정보 유출 사태로 99만건이 넘는 개인정보가 빠져 나갔던 것으로 공식 확인됐다.

26일 방송통신위원회와 미래창조과학부는 지난 달 7일에서 17일까지 발생한 '여기어때' 서비스사 위드이노베이션의 개인정보 유출 침해사고에 대한 조사를 진행한 결과, 휴대폰번호 및 계좌번호, 이메일 등 총 99만584건(중복 제외)의 정보가 유출된 것으로 확인됐다고 발표했다.

이번 조사는 위드이노베이션 서비스 이용고객을 대상으로 총 4천817건의 '협박성 음란문자(SMS)'가 발송된 것을 계기로 진행됐다.

방통위에 따르면 해커는 데이터베이스의 질의 값(SQL)을 조작하는 SQL인젝션 방식을 통해 관리자 정보를 탈취했다. 이렇게 탈취한 관리자 세션값으로 외부에 노출된 '서비스 관리 웹페이지'를 관리자 권한으로 우회 접속해 예약정보 및 제휴점정보 및 회원정보를 빼내간 것으로 드러났다.

이렇게 유출된 정보는 99만건이 넘는다. 구체적으로 예약과 관련한 정보가 휴대폰 기준으로 91만여 건, 점포명 등 제휴점 정보가 1천200여 건, 이메일 등 회원정보가 7만9천여 건 등이다.

이는 당초 유출건수가 4천여 건이라던 위드이노베이션의 추정치에서 크게 벗어난 수준이다. 4월 현재 여기어때의 회원수는 약 300만명이다.

조사결과 위드이노베이션 홈페이지에는 비정상적인 DB 질의에 대한 검증절차가 없어 SQL 인젝션 공격에 취약한 웹페이지가 존재했던 것으로 나타났다. 특히 탈취된 관리자 세션값을 통한 우회접속(세션변조 공격)을 탐지·차단하는 체계가 없는 것으로 확인됐다.

이와 관련 위드이노베이션 관계자는 "이번 보안사고에 대해 깊이 반성하고 있고 책임을 통감한다"면서 "행정처분을 겸허히 받아들이고, 보안강화를 위해 회사의 모든 자원을 가용할 것"이라고 말했다.

한편, 방통위는 여기어때의 이번 개인정보 보호조치 위반 사항에 대해 '정보통신망 이용촉진 및 정보보호 등에 관한 법률'에 따라 과징금 부과 등 행정처분을 진행한다는 계획이다.

또 관련 업계를 대상으로 개인정보보호를 위한 교육 및 기술·관리적 보호조치 준수 여부에 대한 일제 점검 추진도 준비중인 것으로 알려졌다.

류세나 기자 cream53@

< 저작권자 ⓒ 부산일보(www.busan.com) 무단 전재 및 재배포 금지 >