숙박앱 '여기어때'를 운영하는 ㈜위드이노베이션에서 고객 개인정보 99만건이 유출됐다.

미래창조과학부와 방송통신위원회, 한국인터넷진흥원과 민간 전문가 등으로 구성된 민·관 합동조사단은 지난달 발생한 위드이노베이션 개인정보 유출 침해사고를 조사해 피해 규모와 경위를 파악했다고 최근 밝혔다.

조사단은 웹서버 로그 1560만건과 공격에 이용된 서버와 PC 등 컴퓨터 5대를 분석했다. 그 결과 중복된 내용을 제거하고 총 99만584건의 개인정보가 유출된 것으로 확인됐다. 중복을 포함하면 유출 건수는 340여 만건에 달한다.

또 해커는 여기어때 마케팅센터 웹페이지를 'SQL 인젝션'이라는 수법으로 공격한 것으로 알려졌다. 이는 데이터베이스의 질의를 조작해 정상적 자료 외에 해커가 원하는 데이터를 확보하는 공격 기법이다.

해커는 데이터베이스에 저장된 관리자 세션아이디를 탈취했으며 이를 이용해 외부에 노출된 서비스 관리 웹페이지에 관리자 권한으로 우회 접속했다. 이런 방식으로 해커는 예약정보와 제휴점정보 그리고 회원정보 등을 유출했다.

특히 조사단은 위드이노베이션 홈페이지에 비정상적인 데이터베이스 질의의 검증절차가 없어 SQL 인젝션 공격에 취약한 웹페이지가 존재했다고 설명했다. 세션 변조 공격을 탐지·차단하는 체계 역시 없는 것으로 확인됐다.

방통위는 위드이노베이션의 개인정보 보호조치 위반 사항과 관련해 정보통신망 이용촉진 및 정보보호 등에 관한 법률에 따라 과징금 부과 등 행정처분을 내릴 예정이다.

미래부는 이번 사고를 계기로 민감한 개인정보를 다루는 200여 개 O2O(온·오프라인 연계) 서비스 기업으로부터 신청을 받아 보안취약점 점검과 기술지원을 실시하고 있다. 또 관련 업계를 대상으로 개인정보 보호를 위한 교육 및 기술적·관리적 보호조치 준수 여부의 일제 점검도 추진할 방침이다.

황재용 기자 (hsoul38@nextdaily.co.kr)