숙박 애플리케이션(앱) ‘여기어때’가 최근 논란이 된 해킹 사건을 계기로 보안 역량을 대폭 강화한다. 이번 위기를 전화위복으로 삼아 한 단계 발전하는 기회를 만들겠다는 의지로 해석된다.
26일 관련업계에 따르면 여기어때는 헤드헌팅 업체를 통해 최고보안책임자(CSO) 영입에 본격적으로 나서고 있다. 전문가를 영입해 보안 전담 부서를 신설하고, 해킹 사고의 재발을 막는다는 취지다.
헤드헌팅 업체 한 관계자는 “여기어때가 헤드헌팅 업체들을 통해 현 보안업계 종사자들을 두루 접촉하며 영입을 적극 타진하고 있다”며 “조만간 새로운 CSO를 중심으로 한 새로운 부서를 신설할 계획으로 알려졌다”고 말했다.
이날 미래창조과학부와 방송통신위원회에 따르면 지난 7일부터 17일까지 발생한 여기어때 개인정보 유출 사고로 인해 가입자들의 개인정보 99만 여건이 유출됐다.
해커는 여기어때 마케팅센터 웹페이지에 SQL 인젝션 공격을 통해 데이터베이스(DB)에 저장된 관리자 세션값을 탈취하고 이어 세션변조 공격을 통해 ‘서비스관리 웹페이지’를 관리자 권한으로 우회접속해 예약정보·제휴점정보·회원정보를 유출한 것으로 드러났다.
해커가 홈페이지 관리자로 둔갑해 엑셀파일로 돼 있는 제휴점 정보와 CVS파일 형태의 예약내역을 파일로 다운로드받은 것. 또 회원가입 정보는 화면조회를 통해 유출했다.
이렇게 확보한 개인정보는 99만584건에 달한다. 이는 중복건수를 제외한 수치라 99만584명의 정보가 유출된 셈이다. 여기어때 회원수는 약 300만명으로 3분의 1에 달하는 고객정보가 유출됐다.
유출된 정보 수위도 높다. 그간 수차례 개인정보 유출건이 있었지만 주민번호, 이름, 이메일, 계좌번호 수준이었는데 이번에는 어느 숙박업체에서 언제, 누가 예약해서 어느 객실에 머물렀는지, 결제는 어떻게 했고 투숙 예약자는 누구였는지 숙박관련 민감정보가 대거 새나갔다.
이들 예약정보 관련 건수는 323만9,210건에 달한다. 또 제휴점 정보로 숙박업체명, 은행명, 계좌번호, 예금주, 이동전화 번호 등 1,163건이 유출됐다. 또 이메일주소, 이름 또는 닉네임, 기기정보 등 회원정보 17만8,625건이 유출됐다. 유출된 정보의 전체 합산은 341만8,998건이지만 중복을 제거하면 99만584건이다.
이번 조사는 여기어때 서비스 이용고객을 대상으로 총 4,817건의 ‘협박성 음란문자(SMS)’가 발송됨에 따라 확인된 개인정보 유출 침해사고에 대한 신속한 대응과 유사 피해 재발 방지 등을 위해 실시됐다.
송정수 민·관합동조사단 단장(미래부 정보보호정책관)은 “정보보호 투자는 기업의 연속성 확보를 위한 선택이 아닌 필수사항으로 기업 스스로 정보보호 투자 확대와 인식제고 노력이 필요하다”고 강조했다.
/권용민기자 minizzang@sedaily.com
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >
