[쿠키뉴스=김정우 기자] 해킹으로 최소 4000여 건의 개인정보가 유출된 ‘여기어때’ 숙박 앱 운영사 위드이노베이션이 기본적인 보안 수준도 만족하지 못했던 것으로 드러나면서 추가 피해 우려까지 불거지고 있다.
◇ 민감 정보 유출에 이용자 불만 속출
지난 23일 “평소 여기어때 앱으로 숙박 예약을 자주 한다”고 밝힌 A씨는 자신의 이름과 묶은 숙박업체, 이용 날짜 등이 정확하게 담긴 문자 메시지를 받았다며 개인정보 유출을 호소했다. ‘인증이 완료. 반납지점은 XXX님 X월XX일 XX점에서 1박불타는X좋으셨나요 여기어’라는 내용의 해당 메시지는 한 충전기 서비스 제공 업체의 웹 발신을 통해 보내진 것으로 파악됐다.
다음날 위드이노베이션은 “최근 일부 고객 정보가 해킹에 의해 침해된 사실을 인지했으며 즉시 경찰청, 방송통신위원회, 한국인터넷진흥원 등 관계당국에 신고해 수사 진행 중이다”고 공지했다. 침해된 개인정보는 이용자 이메일, 연락처, 이름 등이며 유출이 확인된 이용자에게는 별도 개별 통지를 실시했다고 밝혔다.
이를 접한 여기어때 이용자들은 민감하게 반응하고 있다. 기본적인 신상정보 외에도 숙박 시간, 지불 금액 등 구체적인 부분까지 유출됐을 경우 사적인 활동까지 파악될 수 있다는 점에서 불만이 쉽게 잦아들지 않는 분위기다.
실제 구글플레이 여기어때 이용자 리뷰에는 ‘개인정보 다 털렸다’, ‘불안해서 못 하겠다’, ‘해킹 피해 어떻게 보상할건가’ 등의 불만 게시물이 잇달아 올라오고 있다.
이에 경찰, 미래창조과학부, 방송통신위원회 등은 피해 규모와 경위 등에 대한 조사에 나선 상태다. 현재까지 이 같은 문자 메시지를 받은 피해자 수는 약 4000명으로 추정되고 있으며 해킹 공격자는 빼낸 정보를 볼모로 위드이노베이션에 돈을 요구하는 메일을 보낸 것으로 전해졌다.
◇ “고전적 공격에 뚫려”…추가 피해 의심 사례 발생
이번 해킹은 ‘SQL 인젝션(삽입)’이라는 방법을 통해 이뤄졌다. 주소창 또는 ID, 비밀번호 등의 입력 창에 데이터베이스(DB) 정보 검색 명령어인 SQL를 넣어 서버가 정보를 출력(유출)하도록 하는 방식이다.
업계에 따르면 이 같은 해킹 방식은 이미 익히 알려진 공격 수법이다. 때문에 위드이노베이션의 보안 수준에 문제가 있다는 지적이 제기되고 있다.
한 보안 전문가는 “SQL 삽입 공격은 예전부터 있던 고전적인 공격 방식으로 이런 부분이 처리될 수 없도록 해놓는 게 원칙”이라며 “많이 이뤄지는 기본적인 공격이기 때문에 대비가 돼 있어야 하는데 이 부분이 뚫렸다는 것은 보안에 거의 신경을 쓰지 않았다는 반증”이라고 설명했다.
그는 또 “SQL 인젝션의 종류는 다양하지만 기본적인 원리는 같아 예방법도 비슷하다. 이를 제대로 해놓지 않은 것”이라고 덧붙였다.
이처럼 보안이 간단하게 뚫리면서 ID와 비밀번호 등 이용자 정보 유출에 대한 우려도 커지고 있다. 이메일 등의 정보와 조합을 통해 다른 온라인 서비스 계정에 대한 추가 해킹까지 이어질 수 있기 때문이다.
실제로 여기어때 이용자 B씨가 같은 이메일 주소, 비밀번호를 사용하는 SNS 계정에는 해킹이 의심되는 사례가 발생했다. 자신이 인증하지 않은 타 지역 기기에서 로그인이 시도돼 해당 SNS 보안 체계에 따라 계정이 비활성화 된 것이다.
여기어때 이용자 리뷰에도 ‘해킹 문자 온 이후로 아이핀 인증요청, 신용정보 변경 알림 등 엄청나게 당하고 있다’는 등의 유사한 사례가 보고됐다.
보안 전문가는 이에 대해 “이용 내역이 저장된 DB와 이용자 정보 DB는 별개인 만큼 이번 해킹으로 ID와 비밀번호까지 유출됐다고 단정할 수는 없다”면서도 “이메일과 전화번호, 이름 등의 개인정보를 조합한 인증을 통해 다른 서비스에 접근 시도는 가능하다”고 말했다.
특히 위드이노베이션의 보안 수준이 높지 않다는 점을 감안하면 이용 내역 DB 외에 이용자 정보 DB도 안전하다고 보기는 어렵다. 해킹 사실을 알린 문자 발송에 충전기 서비스 업체까지 동원됐다는 사실에서 공격 대상이 이용 내역 정보에 그치지 않을 것이라는 추측까지 나오고 있다.
현재 여기어때 이용자 수는 약 390만명에 달하는 것으로 알려졌다. 피해자 규모가 약 0.001% 수준인 4000명에 그치지 않을 가능성도 있다. 업계 관계자도 “문자 발송을 기반으로 추정된 피해자 규모기 때문에 최소치로 보는 것이 맞다”고 설명했다.
보다 구체적인 피해 규모와 내용은 관련 조사에서 드러날 전망이다. 경찰과 방통위는 늦어도 다음주 중 조사 중간 결과를 발표할 것으로 알려졌다.
한편, 정보통신망법(정보통신망 이용촉진 및 정보보호 등에 관한 법률) 제64조 3에 따르면 개인정보를 유출한 경우 보호 조치를 위반한 사업자에게는 위반 행위와 관련한 매출액의 최대 3% 이하에 해당하는 금액이 과징금으로 부과될 수 있다.
tajo@kukinews.com