랜섬웨어는 양반…개인정보 해킹 후 업체엔 수억원대 비트코인 요구
해킹 공격이 금전을 노린 협박 형태로 변질됐다. 탈취한 고객 정보를 악용해 음해성 메시지를 보내는 등 피해 기업의 사업 모델에 직격타를 가하고 있다. 정보 보안 체계가 미비한 중소기업이나 스타트업은 회사 존망이 걸릴 수 있어 사전 대비가 시급한 실정이다.
27일 업계에 따르면 숙박 온·오프라인연계(O2O) 서비스 '여기어때'를 공격한 해커는 랜섬웨어보다 더 심각한 피해를 안겼다. 랜섬웨어 감염 피해가 PC 내 데이터 손실에 그친다면 이번 공격은 최종 소비자의 개인 영역과 사업 모델까지 공격 대상에 포함했다. 그동안 금융권 등에서 발생한 개인정보 유출 사고는 대부분 유출 규모에 비해 이용자 피해 체감도가 낮았다. 여기어때를 공격한 해커는 이메일, 연락처, 예약자 이름, 숙소 정보 등을 탈취해서 일부 이용자에게 불쾌감을 유발하는 문자 메시지를 전송했다. 서비스 이용자가 해킹으로 인한 피해를 직접 체감하는 일종의 테러 행위를 한 셈이다.
문자 메시지 전송 후에는 여기어때 측에 비트코인으로 수억원대 금전을 요구했다. 사고가 공론화된 24일 이후 추가 피해 접수나 해커 협박은 없는 것으로 알려졌다.
여기어때 관계자는 “지금까지 피해 상황으로는 해커가 과연 협상할 의지가 있긴 했는지 의문이 들 정도”라면서 “방송통신위원회와 경찰청 등 관계 당국에 자료를 넘기고 수사에 협조하고 있다”고 말했다.
이에 앞서 지난해 말에도 중소 식품업체를 해킹해 협박을 일삼고 사업 피해를 유발한 사건이 발생했다. 식품업체 홈페이지를 해킹해 회원 이름, 연락처, 이메일 등 개인정보를 탈취한 해커가 전직 직원이나 회사 공지 메일을 가장해 회원 수백명에게 악성 허위 정보를 유포했다.
해커가 요구한 금전 요구를 받아들이지 않자 연일 협박 강도가 높아졌다. 제품에 유해 물질이 들어 있다는 음해성 내용이나 퇴사 직원을 가장한 허위 사실, 비현실적인 특판 할인 행사, 반품·피해 보상 유도 등 허위 메일과 문자를 수백 건 발송했다. 업체 측은 해킹 사실을 즉시 공지하고 고객에게 안내했지만 신뢰성에 타격을 받아 매출이 30% 이상 하락하는 피해를 봤다.
부산 C업체도 지난해 해킹과 협박으로 몸살을 앓았다. 당시 C업체를 공격한 해커는 제품에 독성 물질이 검출됐다는 허위 정보를 회원에게 보내고 포털 온라인 카페 등에 회원 개인정보까지 공개했다.
식품업체 해킹 사건을 담당한 일선 경찰 관계자는 “금전을 지불하면 데이터 복구 가능성이 있는 랜섬웨어보다 악질적”이라며 “해커끼리 비슷한 공격 방식을 공유하면서 유사 업종으로 피해가 확산될 우려가 크다”고 전했다.
일정 수준 이상 보안 장비를 갖춘 대기업에 비해 중소기업, 스타트업은 간단한 해킹 공격에도 쉽게 노출된다. 여기어때 역시 대응 방법이 수차례 안내된 SQL인젝션 관련 침투 흔적이 발견돼 보안 투자 부족이 지적받고 있다.
박정은기자 jepark@etnews.com
