(사진=자료사진)
국내 대표 숙박 O2O '여기어때'가 초보적인 해킹 수법으로 고객 정보가 대량 유출된 것으로 알려지면서 기업 보안 문제가 다시 도마 위에 올랐다.
더구나 여기어때 해킹 세력이 당초 회사가 해명한 것과 달리 수억원에 달하는 금전을 노린 것이 보안업계를 통해 뒤늦게 드러나면서, 기업의 허술한 보안 책임을 사드 보복에 따른 중국발 공격으로 면피하려는 것 아니냐는 지적까지 나오고 있다.
여전히 해킹 세력과 공격 배경을 두고 추측이 분분한 가운데, 무엇보다도 고객정보보호가 핵심인 숙박 O2O 기업이 기존에 알려진 보안 취약점을 이용했고 또 고객에게 성적수치심을 유발하는 내용의 문자까지 발송된 만큼 비난을 피하긴 힘들 전망이다.
지난 24일 여기어때 측은 당초 이번 해킹에 대해 "데이터베이스를 공격한 IP의 90% 이상이 중국"이라면서 "사드 배치에 반발하는 중국 해커의 보복에 무게를 두고 있다"고 밝혔다.
일부에서는 해커들이 'SQL 인젝션' 공격 방식을 사용했다는 점에서 중국의 해커집단 훙커연맹과 연결짓기도 한다. SQL 인젝션은 해커가 아이디와 비밀번호 입력창에 명령어를 입력해 서버에 침투, 각종 정보를 탈취하는 방식이다. 훙커연맹은 최근 "사드 배치에 대항해 한국 웹사이트를 공격하자"고 주장하면서 SQL 인젝션 방식을 제안한 바 있다.
그러나 보안업계에서는 "중국 IP라고 해서 중국발 공격으로 단정 짓기는 어렵다"는 판단이다. 대부분의 해킹이 해커의 소재지를 숨기기 위해 중국의 IP를 이용하고 있고 국내 유입되는 악성코드의 90% 이상은 중국을 경유하기 때문이다.
또 SQL 인젝션 방식은 아주 기본적인 해킹 방식으로, 정치적이고 조직적인 훙커연맹의 소행으로 보기에는 무리가 있다는 것이다.
최근 사드 보복성 해킹은 롯데면세점 홈페이지 공격처럼 공격 대상을 마비시키는 '디도스'나 홈페이지 화면을 바꾸는 '디페이스' 방식으로 크게 나뉜다. 그러나 여기어때 해킹 방식은 이 두 방법과 거리가 멀다. 또 해커들이 금전(비트코인)을 요구한 것도 중국 해커의 정치적 공격으로는 보기 어렵다는 지적이다.
다만, 새로운 방식의 사드 보복성 공격이라는 관측도 제기되고 있다. 중국 해커들이 노골적인 정치적 보복에 대한 비판 여론이 불거지자 자신의 정체를 숨기는 방식으로 전략을 바꿨을 수 있다는 분석이다.
그러나 여기어때측은 이같은 보안 업계의 조사 상황이나 배경에 대한 다양한 분석은 뒤로 한채, '중국발 공격'에만 상당한 무게를 실어 해명해 사후 대응마저 논란이 되기도 했다. 초보적인 방식에 고객 정보가 대량 유출된 것을 덮으려 성급히 '사드 보복'을 들고 나선 것 아니냐는 것이다.
이에 대해 여기어때 측은 "당시 파악한 상황이 거기까지였고, 중국 IP인데다 중국이 공격을 하겠다고 한 방식과 같아서 그랬던 것"이라며 "어차피 수사결과 다 밝혀질 내용을 순간 면피한다고 될 일도 아니다"라며 의혹에 대해 선을 그었다.
그러나 특히 이번 사건의 경우 해커들이 앱 이용자 개인에게 직접 문자로 숙박 정보를 언급하며 성적 수치심을 주는 대담한 수법을 사용했다는 점에서 심각성이 더 크다는 지적이다.
해커 일당은 여기어때를 해킹한 뒤 한 문자 발송 시스템 업체 시스템도 뚫고 들어가 '여기어때' 가입자들에게 문자를 발송했다.
문자는 대부분 "○월○일 ××(숙박업소명)서 즐거우셨나요"라는 내용으로, '너의 숙박 기록을 우리가 알고 있다'는 취지의 메시지였다. 이용자들은 자신의 이름과 숙박 장소, 이용한 날짜까지 유출된 것을 알고 경악했다.
이런 문자를 받은 이용자가 현재 파악된 것만 4000여명에 이른다. 그러나 여기어때 앱 가입자 수가 300만명이 넘는 만큼 피해 규모는 더 클 것으로 업계는 보고 있다.
보안 전문가들은 설령 중국 해커들의 소행이라 할지라도 기본적인 공격 방식에 뚫렸다는 데 문제의 심각성이 있다고 입을 모았다. 특히 SQL 인젝션의 경우 앞서 한국인터넷진흥원(KISA)이 보안 가이드를 배포하고, 여러 차례 주의를 당부한 바 있다.
'여기어때'는 지난해 숙박 업계 최초로 개인정보보호협회로부터 '보안 e프라이버시' 인증을 받았다고 대대적인 홍보도 벌였다.
그러나 평가 기준이 더 엄격한 정부의 ISMS(정보보호관리체계) 인증은 받지 못한 것으로 드러났다. "여기어때가 광고에는 대규모로 투자하면서 기본적인 보안은 허술하게 관리했다"는 비난이 빗발치는 이유다.
ISMS 인증은 유효기간이 3년이며 연장하려면 갱신 심사를 받아야 한다. 현재까지 인증서를 유지하는 곳은 450여곳인데 이용자가 많은 숙박과 배달 스타트업 중에는 야놀자와 우아한형제들(배달의민족) 두 곳에 불과하다.
한국인터넷진흥원은 "사이버 침해 사고는 가장 최근에 드러난 보안 취약점을 뚫고 들어온다"며 "민감한 고객 정보를 다루는 기업일수록 보안 솔루션을 최신으로 업데이트하고, 사고 예방을 위해 관계 기관과 긴밀히 협력할 필요가 있다"고 당부했다.
한편, 여기어때를 서비스하는 위드이노베이션이 관계당국에 신고, 수사 진행중이며 개인정보 침해가 확인된 고객에게 별도 통지를 하고 있다고 밝혔다.
현재까지 확인된 유출정보는 이메일, 연락처, 예약자명 등이다. 여기어때를 사칭하거나 출처가 불분명한 스팸문자 또는 이메일을 받으실 경우 지체 없이 여기어때 개인정보 전용 상담센터(전화번호 070-5058-1995)로 연락하면 된다.