숙박앱 여기어때가 해킹으로 인해 휴대폰 번호 기준 91만여건에 달하는 개인정보가 유출됐던 사건은 전반적인 보안관리부실이 부른 인재였던 것으로 확인됐다.
26일 방송통신위원회, 미래창조과학부, 한국인터넷진흥원(KISA) 및 민간 전문가로 구성된 민관합동조사단은 여기어때 해킹의 구체적인 수법, 개인정보 유출규모 등을 조사한 결과를 발표했다.
여기어때로부터 유출된 개인정보 중 스미싱, 피싱 등 2차 피해를 유발할 수도 있는 정보 91만건은 전체 회원수인 200만명 중 거의 절반에 해당한다. 여기에는 휴대폰 번호와 함께 언제 어디서 어떤 숙박업소에 묵었는지에 대한 정보가 담겼다.
문제는 그동안 여기어때를 서비스 중인 위드이노베이션측에서 제대로 된 보안관련 조치를 취하지 않았었다는 점이다. 이 해킹사건의 경우 지능형 공격(APT공격)처럼 공격자가 오랜 시간을 두고 연구한 끝에 공격에 성공한 것이라기 보다는 사전에 해킹을 막기위한 기본적인 조치들이 제대로 갖춰지지 않았던 탓이 크다.
이는 여기어때 뿐만 아니라 보안에 대한 투자가 여의치 않은 대부분 중소규모 스타트업에 해당하는 사안이기도 하다.
조사결과 공격자는 외부에 공개된 여기어때 마케팅 센터 웹페이지와 내부 특정 직원이나 가맹점주들만 접속할 수 있는 서비스 관리 웹페이지를 모두 해킹 대상으로 삼았다.
민관합동조사단 관계자에 따르면 공격자는 정상적인 로그인을 한 사용자들만 쓸 수 있는 관리자 세션값(세션ID)을 SQL인젝션이라는 웹취약점 공격 수법을 악용해 데이터베이스(DB)로부터 훔쳐냈다.
그 뒤 이 관리자 세션값을 악용해 내부 관리자들만 쓸 수 있는 서비스 관리 웹페이지에 우회접속해 메뉴에서 제휴점정보와 예약내역을 담은 액셀, CSV파일을 다운로드 받았다.
이 과정에 대해 조사단 관계자는 "SQL인젝션은 프로그램 설계 상 문제인데 별다른 조치를 하지 않았고, 전반적인 웹페이지 설계 상에도 문제가 있었으며 보안장비도 제대로 갖춰지지 않았던 것으로 확인됐다"고 말했다.
이 관계자는 특히 "내부에서만 볼 수 있는 서비스 관리 웹페이지의 경우 특정한 사용자들에게만 권한을 부여하거나 사전에 등록된 특정 IP에 대해서만 접속권한을 주고 외부에서 쉽게 접속하지 못하도록 차단해야 하나 이런 조치들이 부족했다"고 덧붙였다.
더구나 세션값의 경우에도 이를 중간에서 훔쳐가 관리자 권한으로 로그인하는 해킹수법을 막기 위해 DB 내부가 아니라 서버의 메모리 상에서만 이런 값을 활용할 수 있도록 하거나 하나의 세션값으로 여러 명이 접속했을 때 이를 차단시키는 등 조치도 제대로 이뤄지지 않았었다.
관련기사
- 여기어때 개인정보 유출…해커가 관리자 권한으로 우회접속2017.04.26
- 공든 탑 무너진 숙박앱, 다시 일어설까2017.04.26
- 여기어때, 91만 개인정보 유출 확인2017.04.26
- 민감 정보 유출 여기어때, 어떤 제재 내려질까2017.04.26
보안 전문가들은 해킹을 100% 막기는 어렵지만 공격자들이 쉽게 해킹하지 못하도록 여러가지 보안책을 마련해 놓는 것만으로도 큰 예방효과를 거둘 수 있다고 말한다.
여기여때를 운영 중인 위드이노베이션은 지난달 30일 유사사건 방지, 사용자 정보보호를 위한 5대 보안강화 대책을 발표했다. 여기에는 회원정보와 숙박 예약정보 분리 및 암호화, 예약 개인정보를 제휴점 전송시 닉네임과 가상번호로 대체, 정보보호최고책임자(CISO) 영입 및 개인정보보호팀 강화, 외부 전문기관과 공조를 통한 해킹 예방 모니터링 시스템 구축, 신규 보안솔루션 도입 등 내용이 담겼다.
