여기어때 - 고객 91만명 정보유출

얼마전 숙박 예약 앱으로 유명한 '여기어때'가 중국발 해킹을 당했다는 보도가 나왔다.

해킹 당한 것을 인지한 것도 해커가 고객들에게 낯뜨거운 문자를 보내고 나서인 듯한데,

고객의 이메일, 연락처, 이름, 숙박업소 예약 내역 등이 모두 털린 듯하다.

 

일단 현재까지 파악되기로는 고객 91만명의 이용자명, 휴대전화번호, 숙박 이용정보 323만건이 해커에 의해 침해된 것으로 확인됐고(3/30 기준), 해커가 사용자에게 문자메시지를 전송한 수는 지난 3월 23일까지 총 4,000여 건이며 이후 추가 피해는 접수되지 않았다고 한다.

 

그리고 아래 5대 보안 강화 정책을 함께 발표했다. 

5대 보안 강화 정책

 (1) 회원정보와 숙박 예약정보 분리 및 암호화 관리

 (2) 예약 고객정보 제휴점 전송 시 닉네임과 가상번호로 대체

 (3) ’개인정보보호 전담임원(CPO)’ 영입 및 고객정보보호팀 운영 강화

 (4) 외부 전문기관과 공조를 통한 침해 예방 및 사고대응 모니터링 시스템 구축

 (5) 국내외 정보보호인증 및 최신 보안위협에 대응 가능한 신규 보안 솔루션 도입

 

 그리고 여기어때는 정보보호 전문가를 영입해 전담팀을 구성하고 IT인프라 보안강화를 위해 정보보호 아키텍쳐 및 운영체계를 대형 인터넷 기업 수준으로 강화하며, 대고객 서비스의 경우 기획, 개발, 운영 시 체계적 시스템 하에 보안성을 검토한다. 서비스, 네트워크, DB 등 인프라에 대한 시스템을 고도화하고 최신 보안 위협 대응을 위한 신규 보안 솔루션을 적극 도입하고, 정보보안 인증(ISMS 등)도 취득하고, 고객정보 접속기록, 외부 침해시도에 대한 모니터링을 강화하는 한편, 고객정보 유출 대응력 확보를 위한 정기 침해사고 대응 훈련도 도입한다.

 

여기까지가 여기어때를 서비스하고 있는 '위드이노베이션'의 공식 입장인 셈인데,

사실 아직 사건이 모두 구체적으로 밝혀진 것은 아니지만 주요 언론보도를 보면 '중국발 SQL Injection'에 의한 것이라고 추정하고 있다.

 

중요한 것은 통상 SQL Injection은 온라인 서비스의 보안 취약점 중 가장 기본적으로 점검해야할 사항이라는 것이다. 물론 SQL Injection을 응용한 고도의 신기술로 해당 공격을 했을 수도 있지만, 전반적으로 흔적을 남겼다는 언론 기사들을 훑어볼 때 이미 잘 알려져있는 취약점이 있었고, 해커는 이를 이용한 것으로 보인다.

 

한편 보안강화정책도 꼼꼼히 살펴보면, 그간 개인정보에 대하여 이 회사가 얼마나 허술하게 관리하고 보안에 대한 투자를 하지 않았는지도 알 수 있는데, 해당 회사 보도자료를 살펴보면 2016년 12월 숙박 예약 매출만 180억이라고 한다. 다른 부문 매출까지 합치면 더커질 것 같은데, 실제 영업이익률까지는 알 수 없지만, 매출액과 다소 민감할 수 있는 고객의 개인정보를 다룬다는 점을 비춰볼 때, 사전에 개인정보/보안에 대한 고려가 깊지 않았던 것은 아닐지. 

 

서비스를 구축하고 만드는 입장에서 사실 개인정보/보안은 제약사항이 되고 기획, 설계 과정뿐만 아니라 QA/테스트 과정에서도 많은 공수가 들어가는 - 기업 입장에서는 부담되는 작업일 수 있다. 그러나 이렇게 한번 개인정보 유출 사고가 발생되면 비즈니스적으로 엄청난 타격이 발생되고 기업 이미지가 땅바닥에 박힐 정도가 되기 때문에, 서비스의 신뢰를 잃을 수 있다는 점을 생각하면 개인정보/보안에 대한 실질적 투자가 더욱 필요할 것이다. 더불어 정부차원에서도 개인정보/보안과 관련하여 가이드 수준을 더 높이고, 민감정보를 다루는 IT기업들에 대한 관리/감독을 강화할 필요도 있을 것이다. 

 

어느정도의 인젝션 공격은 보안관제나 IPS/IDS등의 솔루션, 방화벽 등을 충분히 고려하고 시큐어코딩을 적용했다면 막을 수 있었을 텐데... 추후 수사 결과가 어떻게 나올지 지켜봐야할 것으로 보인다. 

 

※참고 : OWASP Zed Attack Proxy Project (mace.kr/123)

 

 

 

<2017-03-24 여기어때 공지사항 내용>

 

 

 

<2017-03-31 여기어때 보도자료 - 보안강화정책>

 

 

<2017-03-31 여기어때 보도자료 - 사과문 전문>