여기어때 해킹에 따른 개인정보 유출 이유, 꼼꼼히 조사해보니...

2017-04-26 23:35
  • 카카오톡
  • 네이버 블로그
  • url
위드이노베이션, 개인정보 유출 침해사고 조사 결과 발표

[보안뉴스 박미영 기자] 방송통신위원회(이하 ‘방통위’)와 미래창조과학부(이하 ‘미래부’)는 지난 3월 7일부터 17일까지 발생한 위드이노베이션 개인정보 유출 침해사고 관련 ‘민·관합동조사단(이하 조사단)’의 조사 결과를 발표했다. 조사단은 방통위·미래부·한국인터넷진흥원 및 민간 전문가로 구성해 3월 23일부터 운영됐다.


▲ 해킹 과정 개요[제공: 방통위, 미래부]

이번 조사는 위드이노베이션 서비스 이용 고객을 대상으로 총 4817건의 ‘협박성 음란 문자(SMS)’가 발송됨에 따라 확인된 개인정보 유출 침해 사고에 대한 신속한 대응과 사고 원인 분석을 통한 유사 피해 재발 방지 등을 위해 실시됐다.

조사단은 확보한 사고 관련 자료(웹서버 로그 1560만건, 공격 서버·PC 5대) 분석 및 재연을 통해 해킹의 구체적인 방법 및 절차, 개인정보 유출 규모 등을 확인했다.

해커는 ‘여기어때 마케팅센터 웹페이지’에 SQL 인젝션 공격(데이터베이스에 대한 질의값(SQL 구문)을 조작해 정상적인 자료 이외에 해커가 원하는 자료까지 데이터베이스로부터 유출 가능한 공격 기법)을 통해 DB에 저장된 관리자 세션값(웹 통신에서 접속 또는 로그인한 사용자를 구분하기 위해 서버에서 할당하는 사용자 고유 식별값)을 탈취했다. 또 탈취한 관리자 세션값으로 외부에 노출된 ‘서비스 관리 웹페이지’를 관리자 권한으로 우회 접속하고(세션 변조 공격), 예약정보·제휴점정보 및 회원정보를 유출한 것으로 조사됐다.

이를 통해 해커는 서비스 관리 웹페이지에서 제공하는 메뉴를 이용해 제휴점정보(EXCEL) 및 예약 내역(CSV)은 파일로, 회원 가입 정보는 화면 조회를 통해 개인정보(중복 제거) 총 99만584건을 유출한 것으로 조사됐다.

위드이노베이션 홈페이지에는 비정상적인 DB 질의에 대한 검증 절차가 없어 SQL 인젝션 공격에 취약한 웹페이지가 존재했으며, 탈취된 관리자 세션값을 통한 우회 접속(세션 변조 공격)을 탐지·차단하는 체계가 없는 것으로 확인됐다.

조사단은 위드이노베이션 침해사고 조사과정에서 발견된 문제점을 개선·보완할 수 있도록 조사 결과 및 개선 사항 공유 등 보안 강화 기술 지원과 함께 위드이노베이션 홈페이지를 대상으로 취약점 점검을 실시했다. 또한, 지난 인터파크 개인정보 대량 유출 시 효율적으로 대응하기 위해 방통위에서 마련한 ‘개인정보 유출 대응 매뉴얼’에 따라 유출 신고 및 전파, 유출 통지, 이용자 피해 방지를 위한 대책 수립 등이 이뤄지도록 조치했다.

아울러 미래부는 민감한 정보를 다루는 200여개 O2O 서비스 기업에 대해 유사 피해를 차단하고 보안성을 높이기 위해 기업의 신청을 받아 보안 취약점 점검 및 기술 지원을 4월 13일부터 실시하고 있다. 이와 함께 스타트업 등 중소기업을 대상으로 홈페이지 웹서비스 및 소스코드 취약점 점검·디도스사이버대피소·웹방화벽(캐슬) 등 보안도구 보급·보안 컨설팅 등 맞춤형 정보보안 지원을 강화할 계획이다.

또한, 방통위는 해당 업체의 개인정보보호 조치 위반 사항에 대해서는 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’에 따라 과징금 부과 등 행정 처분할 예정이며, 조속한 시일 내에 관련 업계를 대상으로 개인정보보호를 위한 교육 및 기술적·관리적 보호 조치 준수 여부에 대한 일제 점검을 추진할 계획이다.

조사단 단장(미래부 송정수 정보보호정책관)은 “정보보호 투자는 기업의 연속성 확보를 위한 선택이 아닌 필수 사항으로, 기업 스스로 정보보호 투자 확대와 인식 제고 노력이 필요하다”고 강조하며, “정부도 스타트업 등 중소기업을 대상으로 기본적인 정보보호 체계를 갖출 수 있도록 지원을 확대해 나가겠다”고 밝혔다.
[박미영 기자(mypark@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 다후아테크놀로지코리아

    • 인콘

    • 엔텍디바이스코리아

    • 이노뎁

    • 다후아테크놀로지코리아

    • 아이디스

    • 씨프로

    • 웹게이트

    • 씨게이트

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 비엔비상사

    • 원우이엔지

    • 지인테크

    • 지오멕스소프트

    • 이화트론

    • 다누시스

    • 테크스피어

    • 렉스젠

    • 슈프리마

    • 인텔리빅스

    • 시큐인포

    • 미래정보기술(주)

    • 동양유니텍

    • 비전정보통신

    • 경인씨엔에스

    • 트루엔

    • 성현시스템

    • 한결피아이에프

    • 프로브디지털

    • 디비시스

    • 세연테크

    • 스피어AX

    • 투윈스컴

    • 위트콘

    • 유에치디프로

    • 구네보코리아주식회사

    • 주식회사 에스카

    • 넥스트림

    • 포엠아이텍

    • 세렉스

    • 탈레스

    • 에스지에이솔루션즈

    • 로그프레소

    • 윈스

    • 포티넷코리아

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 유투에스알

    • 케이제이테크

    • 알에프코리아

    • 창성에이스산업

    • 아이엔아이

    • 미래시그널

    • 새눈

    • 에스에스티랩

    • 현대틸스
      팬틸트 / 카메라

    • 이스트컨트롤

    • 네티마시스템

    • 태정이엔지

    • (주)일산정밀

    • 넥스텝

    • 한국씨텍

    • 두레옵트로닉스

    • 에이티앤넷

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 에이앤티글로벌

    • 포커스에이치앤에스

    • 신화시스템

    • 휴젠

    • 메트로게이트
      시큐리티 게이트

    • 글로넥스

    • 엘림광통신

    • 세환엠에스(주)

    • 유진시스템코리아

    • 카티스

    • 유니온커뮤니티

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

Passwordless 설정

PC버전

닫기