해킹과정 개요

시사투데이 박미라 기자] 북한 소행일 것으로 추정됐던 숙박 애플리케이션(앱) '여기어때' 해킹에 대해서 민간조사단이 북한 소행이 아니라고 밝혔다. 악성코드를 암호화하는 방식이나 교신법이 그동안 북한에서 보였던 해킹방식과 크게 다르다는 이유에서다.

방송통신위원회와 미래창조과학부, 한국인터넷진흥원 및 민간전문가로 구성된 민·관합동조사단은 26일 지난 3월 7일부터 17일까지 발생한 여기어때 개인정보 유출 침해사고 조사결과를 발표했다.

조사결과에 따르면 해커는 개인정보(중복제거) 총 99만584건을 유출한 것으로 조사됐다. 휴대폰 기준 91만705건과 이메일 기준 7만8716건의 중복 여부에 대해서는 방통위에서 추가 조사를 하고 있다.

이번 조사는 여기어때 서비스 이용고객을 대상으로 총 4817건의 '협박성 음란문자(SMS)'가 발송됨에 따라 확인된 개인정보 유출 침해사고에 대한 신속한 대응과 유사 피해 재발 방지 등을 위해 실시됐다.

조사단은 확보한 사고 관련자료(웹서버 로그 1560만건, 공격서버·PC 5대) 분석 및 재연을 통해 해킹의 구체적인 방법 절차, 개인정보 유출규모 등을 확인했다.

해커는 '여기어때 마케팅센터 웹페이지'의 관리자 세션값을 탈취한 후 외부에 노출된 '서비스 관리 웹페이지'를 관리자 권한으로 우회 접속했다. 서비스 관리 웹페이지에서 제공하는 메뉴를 이용해 제휴점정보(EXCEL) 및 예약내역(CSV)은 파일로, 회원가입정보는 화면조회를 통해 개인정보를 유출했다. 여기어때 홈페이지에는 비정상적인 데이터베이스 질의에 대한 검증절차가 없어 SQL 인젝션 공격에 취약한 웹페이지가 존재했다. 탈취된 관리자 세션값을 통한 우회접속을 탐지·차단하는 체계가 없는 것으로 확인됐다.

조사단은 조사과정에서 발견된 문제점을 개선·보완할 수 있도록 보안강화 기술지원과 함께 홈페이지 취약점 점검을 실시했다.

지난 인터파크 개인정보 대량 유출 당시 방통위에서 마련한 '개인정보 유출 대응 매뉴얼'에 따라 유출 신고 및 전파, 유출통지, 이용자 피해방지를 위한 대책 수립 등이 이뤄지도록 했다.

미래부는 민감한 정보를 다루는 200여개 O2O 서비스 기업에 대해 유사 피해를 차단하고 보안성을 높이기 위해 기업의 신청을 받아 보안취약점 점검 및 기술지원을 실시하고 있다. 중소기업을 대상으로 홈페이지 웹서비스 및 소스코드 취약점 점검, 디도스사이버대피소, 웹방화벽 등 보안도구 보급, 보안컨설팅 등 정보보안 지원을 강화할 계획이다.

송정수 민·관합동조사단 단장(미래부 정보보호정책관)은 "정보보호 투자는 기업의 연속성 확보를 위한 선택이 아닌 필수사항으로 기업 스스로 정보보호 투자 확대와 인식제고 노력이 필요하다"고 강조했다.

한편 방통위는 여기어때의 개인정보 보호조치 위반에 대해 과징금 부과 등 행정처분을 내릴 예정이다. 이와 더불어 관련 업계를 대상으로 개인정보보호를 위한 교육 및 기술적·관리적 보호조치 준수 여부에 대한 일제 점검을 추진할 계획이다. 다만 현재 방통위는 5명의 상임위원 가운데 2명이 공석이며 나머지 3명의 상임위원도 의견 대립을 보여 전체회의 소집은 오는 ‘장미대선’ 이후에나 가능할 것으로 전망된다.

[ⓒ 시사투데이. 무단전재-재배포 금지]