‘여기어때’ 개인정보 99만건 유출…‘SQL인젝션’ 웹 취약점 공격 원인


위드이노베이션이 운영하는 숙박 온·오프라인 연계(O2O) 서비스 ‘여기어때’에서 유출된 고객 개인정보가 99만여건에 달하는 것으로 조사됐다. 지난달 회사측이 발표한 침해 건수에서 더 늘어났다.

사고 원인은 조사 초창기부터 예상됐던대로 웹사이트 취약점 공격기법인 ‘SQL 인젝션’ 공격에 의해 데이터베이스(DB)가 뚫린 것으로 확인됐다.

미래창조과학부와 방송통신위원회는 ‘여기어때’ 개인정보 유출 침해사고 관련 ‘민·관합동조사단’조사 결과를 26일 밝혔다.

‘민·관합동조사단’은 ‘여기어때’ 서비스 이용고객을 대상으로 총 4817건의 ‘협박성 음란문자(SMS)’가 발송됨에 따라 확인된 개인정보 유출 침해사고 원인 분석과 대응, 피해 방지 등을 위해 미래부, 방통위, 한국인터넷진흥원(KISA)yogi_hacking과 민간 전문가로 구성, 지난 3월7일부터 3월17일까지 조사를 벌였다.

조사단은 확보한 웹서버 로그 1560만건, 공격서버·PC 5대를 바탕으로 사고 관련자료 분석, 재연해 해킹의 구체적인 방법 및 절차, 개인정보 유출규모 등을 확인했다.

해커는 ‘여기어때 마케팅센터 웹페이지’에 SQL 인젝션 공격을 통해 DB에 저장된 관리자 세션값(세션ID)을 탈취한 것으로 드러났다. SQL 인젝션 공격은 가장 흔한 웹사이트 취약점 공격으로 알려져 있다.

또한 탈취한 관리자 세션값으로 외부에 노출된 ‘서비스 관리 웹페이지’를 관리자 권한으로 우회 접속해(세션변조 공격) 예약정보, 제휴점정보 및 회원정보를 유출한 것으로 조사됐다.

위드이노베이션 웹사이트는 비정상적인 DB 질의 검증절차가 없어 SQL 인젝션 공격에 취약한 웹페이지가 존재했다. 탈취된 관리자 세션값을 통한 우회 접속(세션변조 공격)을 탐지·차단하는 체계도 없었던 것으로 조사단은 확인했다.

이를 통해 해커는 서비스 관리 웹페이지에서 제공하는 메뉴를 이용해 제휴점정보(EXCEL)와 예약내역(CSV)은 파일로, 회원가입정보는 화면조회를 통해, 개인정보(중복제거) 총 99만584건을 유출했다.

유출된 개인정보 수(중복제거)는 숙박 예약정보 323만9210건, 제휴점 정보 1163건, 이메일 주소·이름·기기정보 등 회원정보 17만8625건이다. 예약정보에는 숙박일수, 제휴점명부터 예약일시, 예약자, 회원번호, 휴대폰번호, 결제방법과 금액까지 민감한 정보가 포함돼 있다.

KISA는 “SQL 인젝션 공격은 국내 대부분의 기업, 전 업종의 홈페이지에서 많이 발견되는 취약점 공격으로, 취약점 점검이나 조치를 적용하지 않은 경우가 많아 사고가 자주 발생하고 있다”라며 “기업에서는 홈페이지 제작시 이러한 취약점을 미리 조치하지 않으면 사고가 재발할 수밖에 없어 반복적인 취약점 점검과 모의훈련으로 다양한 침해경로 발견과 조치가 필요하다”고 강조했다.

조사단은 위드이노베이션 침해사고 조사과정에서 발견된 문제점을 개선·보완할 수 있도록 조사결과와 개선사항 공유 등 보안강화 기술지원과 함께 위드이노베이션 홈페이지 대상으로 취약점 점검을 실시했다.

미래부는 후속조치로 민감한 정보를 다루는 200여개 O2O 서비스 기업을 대상으로 신청을 받아 보안취약점 점검과 기술지원을 4월13일부터 실시하고 있다. 스타트업 등 중소기업을 대상으로도 홈페이지 웹서비스, 소스코드 취약점 점검, 디도스(DDoS) 사이버대피소, 웹방화벽(캐슬) 등 보안도구 보급, 보안컨설팅 등 맞춤형 정보보안 지원을 강화할 계획이다.

한편, 방통위는 위드이노베이션의 개인정보보호 조치 위반 사항에 대해 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’에 따라 과징금 부과 등 행정처분할 예정이다. 조속한 시일 내에 관련 업계를 대상으로 개인정보보호를 위한 교육과 기술적·관리적 보호조치 준수 여부에 대한 일제 점검을 추진한다는 방침도 내놨다.

민‧관합동조사단 단장인 송정수 미래부 정보보호정책관은 “정보보호 투자는 기업의 연속성 확보를 위한 선택이 아닌 필수사항으로 기업 스스로 정보보호 투자 확대와 인식제고 노력이 필요하다”고 강조하며 “정부도 스타트업 등 중소기업을 대상으로 기본적인 정보보호 체계를 갖출 수 있도록 지원을 확대해 나가겠다”고 밝혔다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network

관련 글

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다