'여기어때' 99만여건 정보유출…"웹사이트 취약 노려"

[머니투데이방송 MTN 박소영 기자] 지난달 숙박 O2O 앱 '여기어때'의 정보유출로 총 99만여건의 개인정보가 유출된 것으로 확인됐다. 미래부는 과징금 부과 등의 행정처분과 함께 재발방지에 나설 계획이다.

미래창조과학부와 방송통신위원회는 여기어때를 운영하는 위드이노베이션의 개인정보 유출 침해사고와 관련해 이같은 내용의 민관합동 조사결과를 26일 발표했다.

이 발표에 따르면 해커는 여기어때 마케팅센터 웹페이지에 'SQL 인젝션' 공격을 통해 데이터베이스(DB)에 저장된 관리자 세션값을 탈취했다.

이를 이용해 외부에 노출된 서비스 관리 웹페이지를 관리자 권한으로 우회 접속해 예약정보와 제휴점 정보, 회원정보 등을 두루 유출한 것으로 조사됐다.

해킹과정 개요. /자료=미래부

방통위 측은 "위드이노베이션 홈페이지에는 비정상적인 DB 질의에 대한 검증절차가 없어 SQL 인젝션 공격에 취약한 웹페이지가 있었다"며 "탈취된 관리자 세션값을 통한 우회 접속을 차단하는 체계가 없었다"고 설명했다.

위드이노베이션은 '정보통신망 이용촉진 및 정보보호 등에 관한 법률'에 따라 과징금 부과 등 행정처분을 받게된다.

더불어 방통위는 조속한 시일내 관련 업계를 대상으로 개인정보보보를 위한 교육 및 기술적·관리적 보호조치 준수 여부를 점검할 계획이다.

미래부는 민감한 정보를 다루는 200여개 O2O 서비스 기업에 대해 지난 13일부터 기술지원을 하고 있다. 더불어 스타트업 등 중소기업을 대상으로 홈페이지 웹서비스 및 소스코드 취약점 점검, 디도스사이버대피소, 웹방화벽(캐슬) 등 지원을 강화할 방침이다.

송정수 민관합동조사단 단장(미래부 정보보보정책관)은 "정보보호 투자는 기업의 연속성 확보를 위한 선택이 아닌 필수사항으로 기업 스스로 정보보호 투자 확대와 인식제고 노력이 필요하다"며 "정부도 스타트업 등 중소기업을 대상으로 기본적인 정보보호 체계를 갖출 수 있도록 지원을 확대해 나가겠다"고 말했다.

[머니투데이방송 MTN = 박소영 기자 (cat@mtn.co.kr)]