숙박앱 ‘여기어때’를 운영하는 위드이노베이션에서 고객 개인정보 99만584건이 유출됐다.

미래창조과학부와 방송통신위원회 등 민·관 합동조사단은 3월7∼17일 위드이노베이션의 개인정보 유출 침해사고에서 피해 규모와 경위를 확인했다고 26일 밝혔다.

조사단은 공격에 이용된 서버·PC 등 컴퓨터 5대를 분석한 결과 99만 건이 넘는 개인정보가 새어나간 것을 확인했다. 이 정보는 고객의 이름과 숙박업소 예약 날짜, 기간, 숙박업소의 이름, 이메일, 전화번호 등의 내용이 포함됐다.

조사단은 “위드이노베이션 홈페이지에는 비정상적인 데이터베이스 질의에 검증절차가 없어 해커의 공격에 취약한 웹페이지가 존재했다”며 “우회접속을 탐지하거나 차단하는 체계도 없었던 것으로 확인됐다”고 말했다.

해커는 여기어때 마케팅센터 웹페이지를 'SQL인젝션'이라는 수법으로 공격해 데이터베이스에 저장된 관리자 아이디를 얻은 것으로 파악됐다. 이 수법은 해커의 기초적인 공격방법으로 알려졌다.

해커는 아이디를 이용해 또다른 페이지인 서비스 관리 웹페이지에 접속할 수 있었다. 해커는 이 페이지에서 개인정보를 얻은 뒤 3월 고객 4천여 명에게 협박 문자메시지를 보냈다.

위드이노베이션은 이번 사건으로 방송통신위원회로부터 '정보통신망 이용촉진 및 정보보호 등에 관한 법률'에 따라 과징금 부과 등 행정처분을 받게 된다.

위드이노베이션으로부터 유출된 개인정보는 앞으로 2차 피해를 낼 수도 있다.
 
해커는 얻은 개인정보를 바탕으로 포털이나 소셜네트워크서비스 등에 아이디와 비밀번호 등을 직접 조회하면 글을 무단 등록해 협박할 가능성이 있는 것으로 파악된다. 해커는 휴대폰 번호를 이용해 스미싱을 유도할 수도 있다. 스미싱은 스마트폰 문자메시지를 통해 소액결제를 유도하는 피싱 사기수법이다.

한국인터넷진흥원은 "협박성 메일이나 문자 등을 받았을 경우 경찰에 신고하라"며 "기업은 언제든 발견될 수 있는 취약점을 항상 점검해야 한다"고 말했다. [비즈니스포스트 임주연 기자]