개인정보유출 '여기어때', 고객정보 잘 보호했나

  • 등록 2017-03-25 오전 8:08:16

    수정 2017-03-25 오전 8:08:16

[이데일리 이유미 기자] 숙박앱 ‘여기어때’를 운영하는 위드이노베이션에서 고객정보 유출 사고가 발생했다. 정확한 사고경위를 조사 중에 있지만 보안체계의 허술함에 대해 지적의 목소리도 나온다.

24일 위드이노베이션은 4000명 가량의 고객정보가 해킹당했다고 밝혔다. 해커는 여기어때 데이터베이스(DB)에 침입해 고객 정보를 유출했으며 피해자에게 성적 수치심이나 불쾌감을 유발하는 내용의 문자를 보냈다.

또 해커는 위드이노베이션 측에 메일을 통해 비트코인을 요구했다.

해커는 중국IP를 사용한 것으로 알려졌지만 정확한 발원지에 대해서는 현재 조사를 진행 중이다.

이번 해킹사고에 대해 여기어때의 허술한 보안체계에 대한 비판도 제기되고 있다. 여기어때 해킹에 사용된 방식은 ‘SQL인젝션’ 공격으로 그동안 많이 드러났던 해킹 방식이다. DB 공격은 대부분 SQL인젝션 공격에 의한 것이다.

한국인터넷진흥원 관계자는 “SQL인젝션 공격은 가장 약한 공격으로 알려졌다”면서 “SQL을 입력할 때 특수 문자를 사용하지 못하게 하는 등의 방법으로 방어를 강화할 수 있는데 뚫렸다”고 설명했다.

다만 SQL 공격 구문을 봐야 정확한 해킹 방식을 알 수 있다는 의견도 있다.

최상명 하우리 CERT 실장은 “SQL을 영어라고 생각하면 영어를 잘하는 사람도 있고 못하는 사람도 있듯이, SQL 구문을 봐야 해킹의 공격 수준을 정확히 알 수 있다”고 말했다.

또 개인정보 DB 암호화 조치도 미약했던 것으로 파악된다. 고객의 민감한 정보를 다루는 기업에서는 혹시나 모를 유출 사고에 대비해 고객DB를 암호화한다. 고객 정보가 유출되더라도 해커가 이를 알아볼 수 없도록 하기 위해서다.

한국인터넷진흥원 관계자는 “여기어때는 DB를 암호화하지 않은 것으로 파악된다”면서 “암호화가 됐다면 해커들이 고객 정보를 가져갔어도 알기 어려웠을 것이라고 생각된다”고 밝혔다.

위드이노베이션 측은 “고객정보를 DB화 한 것으로 알고 있다”면서 “현재 사건을 수사하고 있기 때문에 수사가 마무리돼야 정확한 경위를 알 수 있다”고 해명했다.

이데일리
추천 뉴스by Taboola

당신을 위한
맞춤 뉴스by Dable

소셜 댓글

많이 본 뉴스

바이오 투자 길라잡이 팜이데일리

왼쪽 오른쪽

스무살의 설레임 스냅타임

왼쪽 오른쪽

재미에 지식을 더하다 영상+

왼쪽 오른쪽

두근두근 핫포토

  • 몸짱 싼타와 함께 ♡~
  • 노천탕 즐기는 '이 녀석'
  • 대왕고래 시추
  • 트랙터 진격
왼쪽 오른쪽

04517 서울시 중구 통일로 92 케이지타워 18F, 19F 이데일리

대표전화 02-3772-0114 I 이메일 webmaster@edaily.co.krI 사업자번호 107-81-75795

등록번호 서울 아 00090 I 등록일자 2005.10.25 I 회장 곽재선 I 발행·편집인 이익원 I 청소년보호책임자 고규대

ⓒ 이데일리. All rights reserved