[뉴스토마토 박현준 기자] 숙박 정보 애플리케이션 '여기어때'를 운영하는 위드이노베이션에서 99만건의 개인정보가 유출됐다는 조사 결과가 나왔다. 방송통신위원회는 과징금 처분을 내릴 예정이다.
26일 위드이노베이션 개인정보 유출 침해사고 관련 민관 합동조사단의 조사 결과에 따르면, 여기어때를 통해 개인정보(중복제거) 총 99만584건이 유출된 것으로 나타났다. 지난달 여기어때 사용자의 개인정보가 유출돼 총 4817건의 협박성 음란문자(SMS)가 발송됐다.
여기어때 홈페이지 캡처 화면
방통위와 미래창조과학부, 한국인터넷진흥원과 민간 전문가로 구성된 민관 합동조사단은 지난달 7일부터 17일까지 발생한 위드이노베이션의 개인정보 유출 침해사고에 대한 조사를 진행했다. 조사 결과, 해커는 여기어때 마케팅센터 웹페이지에 SQL 인젝션 방식을 통해 데이터베이스(DB)에 저장된 관리자 세션값(사용자 고유 식별값)을 탈취했다. SQL 인젝션은 DB에 대한 질의(SQL 구문)를 조작해 정상적인 자료 이외에 해커가 원하는 자료까지 탈취하는 공격 기법이다. 해커는 탈취한 세션값으로 관리자 웹페이지에 접속해 회원·예약·제휴점 정보를 빼냈다.
게다가 위드이노베이션 홈페이지에는 비정상적인 DB 질의에 대한 검증절차와 탈취된 관리자 세션값을 통한 우회 접속을 탐지·차단하는 체계가 없는 것으로 확인됐다. 조사단은 위드이노베이션 홈페이지의 취약점 점검을 실시하고 방통위의 개인정보 유출 대응 매뉴얼에 따라 유출 신고 및 전파, 이용자 피해방지를 위한 대책 수립 등이 이뤄지도록 조치했다. 방통위는 '정보통신망 이용촉진 및 정보보호 등에 관한 법률'에 따라 위드이노베이션에 과징금을 부과하는 등 행정처분할 예정이다.
송정수 민관합동조사단장은 "정보보호 투자는 기업의 연속성 확보를 위한 선택이 아닌 필수"라며 "정부도 중소기업을 대상으로 기본적인 정보보호 체계를 갖출 수 있도록 지원을 확대할 것"이라고 말했다.
박현준 기자 pama8@etomato.com