숙박 업체를 예약할 수 있는 모바일 애플리케이션 '여기 어때'에서 무려 4000명이 넘는 이용자의 민감한 개인 정보가 유출돼 파문이 일고 있다. 이번 사건의 경우 해커들이 앱 이용자 개인에게 직접 문자로 숙박 정보를 언급하며 성적 수치심을 주는 대담한 수법을 사용했다는 점에서 심각성이 더욱 크다는 지적. '여기 어때'(위드이노베이션 운영)해킹으로 유출된 이용자 정보의 종류는 이메일, 연락처, 예약자 이름, 숙소 정보 등이다.
해커 일당은 이후 한 문자 발송 시스템 업체의 시스템도 뚫고 들어가 '여기 어때' 이용자들에게 문자를 발송했다. 문자는 대부분 '○월○일 XX(숙박업소명)서 즐거우셨나요'라는 내용. 이런 문자를 받은 이용자가 현재 파악된 것만 4000여명에 이른다. 하지만 이 앱 서비스 전체 회원 수가 390만명에 이르는 만큼 앞으로 추가 피해자가 더 나올 가능성이 높아 보인다.
방통위와 한국인터넷진흥원 등에 따르면 위드이노베이션을 해킹한 해커들은 현재 비트코인 등을 요구하는 등 협박도 하는 것으로 파악됐다. 위드이노베이션은 자체적으로 해킹을 역추적해 해커가 중국 IP를 사용한 것을 확인했다. 방통위 관계자는 "현재 해킹 경로를 파악중이며 대략 2주간의 시간이 걸릴 것으로 보인다"며 "국내 해커라도 IP를 우회하는 경로를 이용할 수 있기 때문에 단순히 중국 IP를 사용했다고해서 중국 해커의 소행이라고 단정짓기는 어려운 상황"이라고 말했다.
위드이노베이션이 'SQL 인젝션(injection)'이라는 초보적인 수준의 해킹 공격에 당했다는 점에서 기술 스타트업이 정작 개인정보보호 등 정보보안에는 소홀했다는 지적을 피하기 어려울 전망이다.
SQL 인젝션은 비교적 초보적인 수법이며 웹취약점 중 '크리티컬'에 해당하는 심각한 취약점이다. 그만큼 공격자들이 악용하기 쉽고, 이 공격에 취약한 사이트들이 많은 탓이다. 이 공격수법은 ID, 비밀번호를 입력하는 창이나 구글, 네이버와 같은 검색사이트 주소창에 특정한 공격 명령어를 입력하는 방법을 쓴다. 만약 해당 웹사이트의 관리자 페이지가 보안에 취약할 경우 내부 정보들이 유출될 가능성이 크다.
개발자가 보안에 조금만 주의를 기울였거나 웹 애플리케이션 방화벽(WAF)만 설치했다면 막을 수 있는 공격이라는게 보안 업계의 중론. 해커는 SQL 인젝션 공격으로 위드이노베이션 내부 관리자 아이디와 비밀번호를 탈취했다. 비밀번호는 암호화가 돼 있었으나, 해커가 암호를 해독한 것으로 추정된다.
위드이노베이션이 해킹을 당한 사실이 드러난 것도 내부에서 파악한 것이 아니라, 외부 제보를 통해서였다. 위드이노베이션은 20일경 여기어때의 한 고객의 불만 접수를 받고서야 해킹 당한 사실을 인지했다.
2015년 온라인 커뮤니티 뽐뿌도 SQL 인젝션 공격에 당해 195만건에 달하는 개인정보가 유출된 바 있다. 2016년에는 인터파크에서도 개인정보가 유출된 바 있다. 휴면회원 및 탈퇴회원 정보도 털렸었는데, 절대 보안을 소홀히 해서는 안된다.
IT강국이란 말은 넣어둬! 넣어둬!
재발방지에 대한 노력과 보안조치를 강화해 나갈 것이라고는 하지만 소 잃고 외양간 고치는 격이니...원...-,.-
읽어 주셔서 감사합니다. "공감"은 엄청난 힘이 됩니다.
'팥빵미인의 사회이야기' 카테고리의 다른 글
| 애플(Apple) iOS 10.3 업데이트 (0) | 2017.03.28 |
|---|---|
| 자동차 범칙금 과태료 부과기준 (0) | 2017.03.28 |
| 음식점 일회용 물티슈 세균 득실 (2) | 2017.03.24 |
| 생리대 발암물질 검출 (0) | 2017.03.23 |
| 4월부터 바뀌는 실손보험료 - 26%싼 기본형 (0) | 2017.03.23 |
