여기어때 개인정보 99만건 유출…SQL 인젝션 공격 확인

  • 프린트
  • 페이스북
  • 트위터
  • 카카오스토리


숙박앱 서비스 여기어때를 운영하는 위드이노베이션 해킹사고는 홈페이지 취약점을 노린 SQL 인젝션 공격으로 개인정보 99만여 건이 유출된 것으로 확인됐다.

방송통신위원회·미래창조과학부·한국인터넷진흥원(KISA)은 지난 3월 7일부터 17일까지 발생한 위드이노베이션 개인정보 유출 침해사고 관련 '민관합동조사단'의 조사 결과를 26일 발표했다. 이번 조사는 위드이노베이션 서비스 이용고객을 대상으로 총 4817건의 '협박성 음란문자(SMS)'가 발송됨에 따라 확인된 개인정보 유출 침해사고에 대한 신속한 대응과 사고 원인 분석을 통한 유사 피해 재발 방지 등을 위해 시행됐다.

조사단은 확보한 사고 관련자료(웹서버 로그 1,560만건, 공격서버ㆍPC 5대) 분석 및 재연을 통해 해킹의 구체적인 방법 및 절차, 개인정보 유출규모 등을 확인했다. 해커는 '여기어때 마케팅센터 웹페이지'에 SQL 인젝션 공격을 통해 데이터베이스(DB)에 저장된 관리자 세션 값을 탈취했고, 탈취한 관리자 세션값으로 외부에 노출된 '서비스 관리 웹페이지'를 관리자 권한으로 우회 접속하고(세션변조 공격), 예약정보, 제휴점정보 및 회원정보를 유출한 것으로 조사됐다.

이를 통해 해커는 서비스 관리 웹페이지에서 제공하는 메뉴를 이용하여 제휴점정보(EXCEL) 및 예약내역(CSV)은 파일로, 회원가입정보는 화면조회를 통해, 개인정보(중복제거) 총 99만584건을 유출한 것으로 확인됐다. 위드이노베이션 홈페이지에는 비정상적인 DB 질의에 대한 검증절차가 없어 SQL 인젝션 공격에 취약한 웹페이지가 존재하였으며, 탈취된 관리자 세션값을 통한 우회접속(세션변조 공격)을 탐지ㆍ차단하는 체계가 없었다.

조사단은 위드이노베이션 침해사고 조사과정에서 발견된 문제점을 개선ㆍ보완할 수 있도록 조사결과 및 개선사항 공유 등 보안강화 기술지원과 함께 위드이노베이션 홈페이지 대상으로 취약점 점검을 실시하는 한편, 지난 인터파크 개인정보 대량 유출시 효율적으로 대응하기 위해 방통위에서 마련한 개인정보 유출 대응 매뉴얼에 따라 유출 신고 및 전파, 유출통지, 이용자 피해방지를 위한 대책 수립 등이 이루어지도록 조치했다.

송정수 민관합동조사단 단장(미래부 정보보호정책관)은 "정부도 스타트업 등 중소기업을 대상으로 기본적인 정보보호 체계를 갖출 수 있도록 지원을 확대해 나가겠다"고 밝혔다.

이경탁기자 kt87@dt.co.kr




[저작권자 ⓒ디지털타임스 무단 전재-재배포 금지]


가장 많이 본 기사