(사진=자료사진)
국내 대표적 숙박정보앱인 '여기 어때' 해킹을 통해 유출된 개인정보가 99만 건에 이르는 것으로 나타났다.
미래창조과학부와 방송통신위원회는 26일 지난 3월 7일에서 17일까지 발생한 ㈜위드이노베이션 개인정보 유출 침해사고 관련 조사 결과를 발표했다.
조사는 ㈜위드이노베이션 서비스 이용고객을 대상으로 총 4817건의 '협박성 음란문자(SMS)'가 발송됨에 따라 구성된 민관합동조사단이 실시했다.
조사단은 확보한 사고 관련자료(웹서버 로그 1560만건, 공격서버·PC 5대) 분석 및 재연을 통해 해킹의 구체적인 방법 및 절차, 개인정보 유출규모 등을 확인했다.
해커는 '여기어때 마케팅센터 웹페이지'에 SQL 인젝션 공격을 통해 DB에 저장된 관리자 세션값을 탈취했고, 이를 이용해 외부에 노출된 '서비스 관리 웹페이지'를 관리자 권한으로 우회 접속해(세션변조 공격) 예약정보, 제휴점정보 및 회원정보를 유출한 것으로 조사됐다.
이를 통해 서비스 관리 웹페이지에서 제공하는 메뉴를 이용해 제휴점정보 및 예약내역은 파일로, 회원가입정보는 화면조회를 통해, 개인정보(중복제거) 총 990,584건을 유출한 것으로 조사됐다.
조사단은 이번 조사과정에서 발견된 문제점을 개선·보완할 수 있도록 조사결과 및 개선사항 공유 등 보안강화 기술지원과 함께 ㈜위드이노베이션 홈페이지 대상으로 취약점 점검을 실시했다.
아울러, 미래부는 민감한 정보를 다루는 200여개 O2O 서비스 기업에 대해 유사 피해를 차단하고 보안성을 높이기 위하여 기업의 신청을 받아 보안취약점 점검 및 기술지원을 지난 13일부터 실시했다.
또한, 방통위는 해당 업체의 개인정보 보호조치 위반 사항에 대해서는 '정보통신망 이용촉진 및 정보보호 등에 관한 법률'에 따라 과징금 부과 등 행정처분할 예정이며, 조속한 시일 내에 관련 업계를 대상으로 개인정보보호를 위한 교육 및 기술적·관리적 보호조치 준수 여부에 대한 일제 점검을 추진할 계획이다.