[프라임경제] 숙박O2O '여기어때' 해킹 사건에 방송통신위원회(방통위)가 과징금 및 시정명령 부과 등 행정명령을 예고했다.

미래창조과학부(미래부)와 방통위는 지난달 7일부터 17일까지 열흘간 발생한 위드이노베이션(대표 심명섭)의 여기어때에서 발생한 개인정보 유출·침해 사고 관련 내용을 조사, 총 341만8998건(중복포함)의 정보 유출이 발생한 것으로 나타났다.

유출 내역은 숙박일수·제휴점명·객실명·예약일시·예약자·회원번호·휴대폰번호·결제방법·금액·입퇴실 가능시간 등 예약정보와 업체명·은행명·계좌번호·예금주·휴대전화번호 등 제휴점 정보, 이메일주소·이름 또는 닉네임·기기정보 등 회원정보다.

정보 유출뿐 아니라 여기어때 이용 고객을 대상으로 총 4817건의 '협박성 음란문자(SMS)'가 발송됐다.

미래부와 방통위, 한국인터넷진흥원 및 민간 전문가로 구성된 조사단은 해커가 '여기어때 마케팅센터 웹페이지'에 SQL 인젝션 공격을 통해 데이터베이스(DB)에 저장된 관리자 세션값을 탈취했다고 전했다.

탈취한 관리자 세션값으로 외부에 노출된 '서비스 관리 웹페이지'를 관리자 권한으로 우회접속해 정보를 유출했다는 견해다.

이번 해킹 주요 수법으로 알려진 SQL인젝션은 데이터베이스에 대한 질의 값(SQL 구문)을 조작해 정상적인 자료 이외에 해커가 원하는 자료까지 데이터베이스로 부터 유출 가능한 공격기법이다. 보안업계에서는 초보 수준의 해킹 수법으로 알려졌다.

특히 여기어때 홈페이지에는 비정상적인 DB 질의에 대한 검증절차가 없었고 탈취된 관리자 세션값을 통한 우회접속(세션 변조 공격)을 탐지하거나 차단하는 체계조차 없었던 것으로 확인됐다.

방통위는 해당 업체의 개인정보 보호조치 위반사항에 대해 '정보통신망 이용촉진 및 정보보호 등에 관한 법률' 따라 과징금 부과 등 행정처분할 예정이다.

더불어 조속한 시일 내에 관련 업계를 대상으로 개인정보보호를 위한 교육 및 기술적·관리적 보호조치 준수 여부에 대한 일제 점검을 추진한다.

미래부는 스타트업 등 중소기업을 대상으로 홈페이지 웹서비스 및 소스코드 취약점 점검, 디도스사이버대피소, 웹방화벽(캐슬) 등 보안도구 보급, 보안컨설팅 등 맞춤형 정보보안 지원을 강화할 방침이다.