[미디어스=박기영 기자] 숙박업소 예약 어플 ‘여기어때’를 서비스하는 ㈜위드이노베이션에서 숙박업소 예약내역 323만9210건이 유출됐다. 휴대폰 번호 기준으로 중복을 제거하면 91만705건이다. 방송통신위원회는 해당 업체에 과징금 부과 등 행정처분을 할 예정이다.

방송통신위원회와 미래창조과학부는 지난달 7일부터 17일까지 발생한 ㈜위드이노베이션 개인정보 유출 침해사고와 관련해 관련 ‘민·관 합동조사단’의 조사 결과를 26일 발표했다. 조사단은 방통위·미래부, 한국인터넷진흥원과 민간 전문가로 구성됐다.

조사 결과에 따르면 숙박업소 예약 내역 323만9210건과 회원가입 내역 17만8625건이 유출됐다. 예약 내역은 숙박일수, 제휴점명, 객실명, 예약일시, 예약자, 회원번호, 휴대폰번호, 결제방법, 금액, 입ㆍ퇴실 가능시간 등이다.

회원 가입 내역은 이메일 주소, 이름 또는 닉네임, 기기정보 등이다. 휴대폰 번호와 이메일 주소를 기준으로 중복을 제거하면 예약 내역 91만705건, 회원가입 정보 7만8716건이다. 숙박 업체는 업체명, 은행명, 계좌번호, 예금주, 휴대전화번호 등 제휴점 정보 1163건이 유출됐다.

문제는 중복 내역이 ‘이용 빈도’로 해석되는 등 2차 피해를 일으킬 수 있다는 점이다. 인터넷 커뮤니티에는 해킹 내역을 바탕으로 '불쾌한 문자'를 받았다는 사례도 등장했다. ㈜위드이노베이션은 지난 7일 해킹에 대한 안내문자를 발송했다.

이번 조사는 ㈜위드이노베이션 서비스 이용고객을 대상으로 4817건의 ‘협박성 음란문자’가 발송됨에 따라 확인돼 실시됐다. 조사는 확보한 사고 관련 자료(웹서버 로그 1560만건, 공격서버·PC 5대) 분석과 재연을 통해 해킹의 구체적인 방법과 절차, 개인정보 유출규모 등을 확인했다.

조사단에 따르면 “해커는 ‘여기어때 마케팅센터 웹페이지’에 대한 SQL 인젝션 공격을 통해 DB에 저장된 관리자 섹션 값을 탈취했다. SQL(Structured Query Language)인젝션이란 데이터베이스에 대한 질의 값을 조작해 정상적인 자료 이외에 해커가 원하는 자료까지 데이터베이스로 부터 유출할 수 있는 공격기법이다.

해커는 탈취한 관리자 세션값으로 외부에 노출된 ‘서비스 관리 웹페이지’를 관리자 권한으로 우회 접속하고(세션변조 공격), 예약정보, 제휴점 정보와 회원정보를 유출한 것으로 조사됐다.

이를 통해 해커는 서비스 관리 웹페이지에서 제공하는 메뉴를 이용하여 제휴점정보와 예약내역은 파일로, 회원가입정보는 화면조회를 통해 개인정보를 유출한 것으로 조사됐다.

㈜위드이노베이션 홈페이지에는 비정상적인 DB 질의에 대한 검증절차가 없어 해킹에 취약한 웹페이지가 존재했으며, 탈취된 관리자 세션값을 통한 우회접속(세션변조 공격)을 탐지ㆍ차단하는 체계가 없는 것으로 확인됐다.

방통위는 해당 업체의 개인정보 보호조치 위반 사항에 대해 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’에 따라 과징금 부과 등 행정처분할 예정이다. 또, 조속한 시일 내에 관련 업계를 대상으로 개인정보보호를 위한 교육과 기술적·관리적 보호조치 준수 여부에 대한 일제 점검을 추진할 계획이다.