메트로人 머니 산업 IT·과학 정치&정책 생활경제 사회 에듀&JOB 기획연재 오피니언 라이프 AI영상 플러스
글로벌 메트로신문
로그인
회원가입

    머니

  • 증권
  • 은행
  • 보험
  • 카드
  • 부동산
  • 경제일반

    산업

  • 재계
  • 자동차
  • 전기전자
  • 물류항공
  • 산업일반

    IT·과학

  • 인터넷
  • 게임
  • 방송통신
  • IT·과학일반

    사회

  • 지방행정
  • 국제
  • 사회일반

    플러스

  • 한줄뉴스
  • 포토
  • 영상
  • 운세/사주
IT/과학>IT/인터넷

숙박 앱 '여기어때', 개인정보 99만건 유출…취약한 홈페이지가 원인

개인정보 유출 상세 내역. / 방송통신위원회



숙박 O2O(온라인·오프라인 연계)서비스 '여기어때'를 제공하는 위드이노베이션에서 고객 개인정보 99만건이 유출된 것으로 확인됐다. 이에 따라 개인정보 보호조치 위반 사항에 대한 고강도 제재가 불가피할 전망이다.

미래창조과학부, 방송통신위원회, 한국인터넷진흥원 등으로 구성된 민관 합동 조사단은 지난달 7~17일 발생한 위드이노베이션의 개인정보 유출 침해사고 관련해 피해 규모와 경위를 확인했다고 26일 밝혔다.

이번 조사 결과, 해커는 여기어때 마케팅센터 웹페이지를 'SQL 인젝션'이란 수법으로 공격해 데이터베이스(DB)에 저장된 관리자 세션아이디를 탈취했다. SQL 인젝션은 DB에 대한 질의를 조작해 정상적인 자료 이외에 해커가 원하는 자료를 유출해내는 공격 방식이다.

해커는 서비스 관리 웹페이지에서 제공하는 메뉴를 이용해 제휴점정보(엑셀)와 예약내역(CSV)은 파일로, 회원가입정보는 화면조회를 통해 개인정보(중복제거) 총 99만584건을 유출한 것으로 조사됐다.

조사 결과, 위드이노베이션 홈페이지에는 비정상적인 DB 질의에 대한 검증절차가 없어 SQL 인젝션 공격에 취약한 웹페이지가 존재한 것으로 나타났다. 또 세션 변조 공격을 탐지하고 차단하는 체계도 없는 것으로 확인됐다.

미래부는 이번 사고를 계기로 민감한 개인정보를 다루는 200여개 O2O 서비스 기업에 대해 신청을 받아 보안취약점 점검과 기술지원을 13일부터 실시하고 있다.

또 방통위는 해당 업체의 개인정보 보호조치 위반 사항에 대해서는 '정보통신망 이용촉진 및 정보보호 등에 관한 법률'에 따라 과징금 부과 등 행정처분할 예정이다. 또 관련 업계를 대상으로 개인정보보호를 위한 교육 및 기술적·관리적 보호조치 준수 여부에 대한 일제 점검을 추진할 계획이다.

민·관합동조사단 단장인 미래부 송정수 정보보호정책관은 "정보보호 투자는 기업의 연속성 확보를 위한 선택이 아닌 필수사항으로 기업 스스로 정보보호 투자 확대와 인식제고 노력이 필요하다"며 "정부도 스타트업 등 중소기업을 대상으로 기본적인 정보보호 체계를 갖출 수 있도록 지원을 확대해 나가겠다"고 말했다.
트위터 페이스북 카카오스토리 Copyright ⓒ 메트로신문 & metroseoul.co.kr