숙박 온·오프라인연계(O2O) 서비스 '여기어때'가 해킹돼 고객정보가 유출된데 대해 26일 회사 관계자는 “SQL인젝션 방식 흔적이 발견됐다”면서 “처음엔 중국 사드 보복 가능성을 염두에 뒀지만 해커 행태 등을 고려하면 아닐 가능성이 크다”고 말했다. 회사는 조사 뒤 정확한 피해 규모가 나오면 배상을 실시할 예정이다. 해커가 고객 데이터를 확보한 이상 언제든 추가 피해 가능성이 있다. 전문 보안 컨설팅 업체와 수사기관이 협조해 2차 피해를 막기 위한 장치를 마련 중이다. 고객정보 유출 발표 뒤 이틀 동안 추가 피해 사례는 보고되지 않았다.
여기어때 관계자는 “보안 강화와 추가 피해 막는 게 우선”이라면서 “지금 상황에서 피해 규모를 확정하기 어려워 경찰 수사 종료 뒤 배상할 것”이라고 말했다. SQL인젝션 공격에 당했다면 기존 보안 수준에 문제가 크다는 지적이다. SQL인젝션은 공격자가 주소창이나 아이디·비밀번호 입력창에 명령어를 입력하고 웹사이트에 침투, 서버에서 정보를 탈취하는 기법이다. 흔히 알려진 웹 취약점으로 관련 패치와 업데이트 등이 수차례 배포됐다. 회원수 400만명에 달하는 인기 O2O 서비스가 오래 전 공개된 보안 패치조차 소홀했다는 의미다.
한국인터넷진흥원(KISA) 관계자는 “여기어때에서 개인정보 유출 관련 침해사고 있다는 신고를 받고 현재 조사 중”이라며 “일각에서 제시되는 중국IP에 의한 공격 여부나 사드 관련성 등은 아직 확정하기 어렵다”고 말했다.
한편 '여기어때' 운영사 위드이노베이션에 따르면 최근 서비스 데이터베이스(DB)에 해커가 침입해 고객정보 일부를 빼갔다. 고객 이름, 전화번호, 이메일, 숙소 정보 등이 유출된 것으로 파악된다. 정확한 피해규모는 조사 중이다. 해커는 문자 대량 발송 서비스 업체도 해킹해 여기어때 고객에게 문자 메시지를 무단 전송했다. 숙박 서비스 이용 관련 성적 수치심이나 불쾌감을 유발하는 내용이다. 문자 메시지 발송 후 여기어때에 비트코인으로 수억원대 금전을 요구하는 협박 메일도 보냈다.
오대석기자 ods@etnews.com
