공기청정기 '에어엔진'으로 유명한 일본 명품 가전 발뮤다(BALMUDA) 공식수입판매원 한국리모텍의 발뮤다 온라인 스토어가 해킹 당해 고객정보가 대거 유출됐다.
한국리모텍은 16일 오후 공지시항과 고객 이메일을 통해 "지난 2017년 9월 19일 발뮤다 스토어를 운영하는데 사용되는 NHN고도의 고도몰 웹 솔루션에 인젝션 공격으로 고객 개인정보 2만8676건이 유출됐다"고 밝혔다.
유출된 개인정보는 2017년 9월 19일 이전 가입한 회원과 20일 가입한 회원 일부의 회원 ID, 비밀번호, 이메일, 전화번호/휴대번호인 것으로 확인됐다. 다만, 비밀번호는 미국 국방부로부터 보안 인증을 받은 암호화 기술이 적용되어 있어 식별이나 암호해독은 사실상 불가능하다고 한국리모텍은 밝혔다.
이번 보안 사고는 지난 13일 MLB 공식 선수용 모자 등을 판매하는 뉴에라 온라인 스토어가 밝힌 고객정보 해킹 유출과 동일한 피해다. 발뮤다는 실제 해킹이 발생한 지난해 9월보다 2개월 뒤인 11월 솔루션 판매 업체 NHN고도로부터 서버가 해킹공격을 받았다는 통지를 받았다. 즉시 한국인터넷진흥원(KISA)에 신고했지만 정확한 피해 내역은 올해 3월 12일에서야 전달받았다.
이번 해킹은 NHN고도에서 운영하는 고도몰의 쇼핑몰 웹 솔루션 'e나무 독립형'의 SQL 인젝션 취약점 때문이다. 가장 흔한 해킹 공격이지만 보안이 취약할 경우 웹 애플리케이션 데이터베이스가 통제당할 수 있다. 공격자가 임의로 조작된 SQL 질의문을 웹 DB 쿼리(Query)에 삽입해 DB 정보를 열람하고 정보를 유출·조작한다.
이들 업체는 고도몰 솔루션을 사용하면서 취약점에 노출된 것으로 알려졌다. NHN고도는 KISA로부터 통보받은 12일 솔루션 보안 패치를 업데이트 했다.
한국리모텍은 사고발생 인지 후 홈페이지 및 발뮤다 스토어 보안을 최대한 강화했다며, 현재까지 해킹으로 인한 추가적인 피해 접수는 없는 상태라고 밝혔다. 하지만 만일의 사고를 대비해 사용자가 발뮤다 스토어에 접속해 비밀번호를 즉시 변경해줄 것을 요청했다.
한편, 고도몰 'e나무 독립형' 솔루션은 국내 대다수의 온라인 스토어가 사용하고 있어 개인정보 유출 피해는 훨씬 많을 것으로 보인다. 'e나무 독립형' 시즌 4 이하 버전을 사용하는 이용자는 즉시 보안 패치를 적용해야 한다.
고도몰 홈페이지 로그인 후 '마이고도 → 쇼핑몰 관리 메뉴 → 패치&업그레이드 게시판 → PC&Mobile 쇼핑몰 파라미터 유효성 검증 보안 패치 게시 글 → 보안 업데이트를 적용하면 된다.