국내 숙박업소 앱 1위, '여기어때' 개인정보 유출

국내 숙박업소 앱 부문 1위를 기록하고 있는 '여기어때'에 등록된 이용자 수는 무려 200만 명에 달합니다. 그만큼 숙박업체 부문에서는 압도적인 고객을 보유하고 있는 만큼 많은 해커들의 타깃이 되고 있고, 결국 해킹의 늪을 피해가지 못했습니다.

 

 

2017년 3월 '여기어때'에 등록된 이용자 전체 중 무려 99만 명에 해당하는 341만 건의 개인정보가 유출되는 사건이 발생했습니다. 이후 4월에 공식적으로 해킹 사건 발표가 되었고, 많은 사람으로 하여금 큰 파장도 이미 예상하였습니다. 사건의 경위는 이렇습니다. 지난 3월 6일~17일 사이 국내 IT 업계에 종사하는 A 씨로부터  해킹 의뢰를 받은 중국 동포 해커 B씨가 있었습니다. B 씨는 A 씨로부터 거래금을 받은 후 '여기어때'의 개인정보 해킹을 시도하였는데요. B 씨는 중국 해커 집단 소속이었습니다. B 씨로부터 숙박 앱 가입자의 개인정보를 받은 A 씨는 '여기어때' 업체에 협박하기 시작했습니다. 하지만 '여기어때' 측은 협박에 순순히 응하지 않았고, 결국 A 씨는 앱 이용자에게 직접 수치심과 모욕감이 드는 언어를 써가며 "이OO 님 O 월 O일 XX 모텔에서 1박 뜨거운 밤 보내셨나요?" 와 같은 문자를 뿌렸습니다. 그 밖에도 SNS 등 여러 곳에 개인정보를 올리며 계속 협박했지만 '여기어때' 측은 결국 협박이 응하지 않았고, 며칠 전 해커 등 일당 4명이 검거되므로 사건이 종결되었다고 합니다.

 

방송통신위원회와 미래조과학부는 해킹에 사용된 수법이 데이터베이스(DB) 접근의 취약점을 이용하는 'SQL 인젝션(Injection)' 기법이라고 밝혔습니다. 'SQL 인젝션' 기법은 해커들 사이에서도 가장 많이 사용되는 기법의 하나라고 알려져 있으며, SQL에 악의적인 코드를 심어 해커의 의도대로 조작, 변경, 제어할 수 있다는 게 특징입니다. 반대로 많이 사용되는 기법인 만큼 해커들 사이에서는 고급 기술로 여겨지는 기법이 아니라서 초보 해커들이 많이 사용하는 기법으로 인지되고 있는데요. 보안 체계에서는 'SQL 인젝션'에 의해 개인정보 유출이나, 데이터 유출 등의 사건이 잘 발생하지 않도록 많은 방어 체계들이 존재하는 거로 알고 있지만, 이번 개인정보 유출사건이 고급 기술이 아닌 해킹 수법에 의해 비교적 많은 개인정보가 유출됐다는 소식에 각 보안 업계 관계자들은 "홈페이지 보안에 조금 더 신경을 썼더라면" 과 같은 안타까운 반응을 보이고 있습니다.

정확한 개인정보 유출 목록이 알려지면서 앱 이용자들에게 더욱더 큰 충격을 주고 있는데요. 개인정보라고 하면 흔히들 주민등록번호, 성명, 휴대폰 번호 및 주소, 심지어 계좌번호까지 유출된다고 생각하실 것 같습니다. 대표적으로 국내 개인정보 유출사건으로 은행 3사인 롯데, 농협, 국민을 비롯해 옥션과 KT 사건이 있는데요. 이들의 유출 정보는 보통 주민등록번호, 성명, 이메일, 계좌번호, 휴대폰 번호, 주소 등 이었지만 이번 '여기어때'에서 유출된 정보들의 목록을 살펴보자면 기본적으로 휴대폰 번호, 성명을 포함하며 투숙한 숙박업체명, 객실 호수 및 객실명, 입/퇴실 시간 등 눈살을 찌푸리게 만들 정도의 적나라한 정보들이 유출되었다는 점에서 충격이 가시질 않고 있습니다. 현재 개인정보 유출 피해자들의 집단 소송이 진행 중에 있다고 합니다. 시대는 점점 발전하면 할수록 분야를 불문하고 모든 것들이 IT와 밀접한 연관을 맺고 있습니다. IT 중심의 사회가 도래하고 있다는 증거이기도 합니다. 하지만 IT의 최대 약점인 해킹으로 인해 많은 개인정보가 쉽게 악의적인 목적으로 사용되고 있습니다. 하루빨리 보안 측면 측면이 IT 발전과 동등한 수준에 이르러 이와 같은 불상사가 더 이상 없었으면 하는 바람입니다.