손해배상, 2차 피해 등 ‘여기어때’ 해킹사고 후폭풍 거세지나 |
|
2017-04-27 | |
‘여기어때’ 개인정보 유출사고 발표에 따른 손해배상 가능성과 2차 피해 우려 커져
[보안뉴스 성기노 객원기자] 숙박 검색 모바일 서비스 ‘여기어때’의 개인정보 유출 침해사고 조사결과가 발표됐다. 최근 미래창조과학부, 방송통신위원회, 한국인터넷진흥원, 민간 전문가 등으로 구성된 민·관 합동조사단은 지난달 7∼17일 발생한 ‘여기어때’ 운영사 위드이노베이션 개인정보 유출 침해사고를 조사해 그 피해 규모와 경위를 확인했다고 밝혔다. 이에 따르면 위드이노베이션에서 고객 개인정보 99만건이 유출된 것으로 확인됐다. 상당한 수의 개인 고객 정보 유출이 확인됨에 따라 그 후유증이 상당히 심각할 전망이다. ▲ 출처: 여기어때 홈페이지 캡처 먼저 피해자들의 손해배상소송이 잇따를 가능성이 있다. 조사단은 웹서버 로그 1천560만건과 공격에 이용된 서버·PC 등 컴퓨터 5대를 분석한 결과, 중복을 제거하고도 도합 99만584건의 개인정보가 유출됐음을 확인했다고 설명했다. 중복을 포함하면 개인정보 유출 건수는 340여만건에 이르렀다. 유출 정보에는 고객의 이름과 숙박업소 예약 날짜, 기간, 숙박업소의 이름, 이메일, 전화번호 등 민감한 내용이 포함돼 있었다. 해커는 이를 악용해 지난달 고객 4천여명에게 협박 문자메시지를 보냈다. 조사 결과, 해커는 여기어때 마케팅센터 웹페이지를 ‘SQL 인젝션’이라는 수법으로 공격해 데이터베이스에 저장된 관리자 세션아이디를 탈취했다. SQL 인젝션은 데이터베이스에 대한 질의를 조작해 정상적 자료 이외에 해커가 원하는 데이터를 뽑아내는 공격 기법으로, 허술하게 설계·관리되는 서비스를 해커가 공격할 때 흔히 쓰인다. 세션아이디는 웹 통신에서 접속·로그인한 사용자를 식별하기 위해 서버가 사용자별로 할당하는 고유 식별 값이다. 해커는 이어 탈취한 관리자 세션아이디를 이용해 외부에 노출된 ‘서비스 관리 웹페이지’에 관리자 권한으로 우회 접속했으며, 이런 ‘세션 변조 공격’을 통해 예약정보, 제휴점 정보, 회원정보 등을 빼 간 것으로 조사됐다. 지난달 이 사고가 알려진 직후 북한의 소행일 수 있다는 추측이 일각에서 나오기도 했으나, 조사단은 악성코드를 심는 수법이나 IP 추적 결과 등을 바탕으로 이런 추측이 사실이라고 생각할만한 이유가 없다고 판단했다. 일단 북한의 소행이라고 볼 만한 근거가 없다는 얘기지만, 일부 보안전문가들은 여전히 북한 소행으로 추정하고 있다. 이번 사건과 관련해 방통위의 과징금 부과와 별도로 개인정보 유출 피해자들이 무더기로 위드이노베이션을 상대로 손해배상 소송을 낼 가능성이 거론되고 있다. 이럴 경우 사업자가 충분한 주의 조치를 했다고 법원이 판단하느냐 여부에 따라 소송 승패가 갈리게 된다. 만약 사업자의 고의나 중대한 과실로 개인정보가 유출됐다고 법원이 판단한다면, 작년 7월 도입된 ‘징벌적 손해배상’ 제도에 따라 손해액의 최대 3배 범위에서 손해배상액이 정해질 가능성도 있다. 위드이노베이션 측은 적법한 절차에 따라 신속하게 피해 보상하는 방안을 마련하겠다는 입장을 내놓고 있지만 아직 구체적 보상안은 미정인 상태다. 손해배상 소송 가능성과 함께 2차 피해 우려도 커지고 있다. 전문가들은 이번에 휴대폰 번호와 이메일 등 개인정보가 대거 노출되면서 문자메시지를 이용해 스마트폰을 해킹하는 스미싱이나 불법 대출에 악용될 소지가 높다고 보고 있다. 최근 한국인터넷진흥원(KISA)은 “여기어때 해킹 사태로 개인정보 유출이 대량으로 발생해 각별한 주의가 필요하다”며 기업과 개인 모두 개인정보보호 유출을 대비해 만전을 기하라고 당부했다. 이번 개인 정보 유출 침해사고를 통해 개인들의 예약정보 91만건과 제휴점 정보 등을 포함해 총 99만584건이 유출된 것이 확인됐다. 유출된 개인정보 중에는 가입자의 이메일도 포함됐다. 문제는 이메일이 SNS 등과 연계된 경우 범죄자가 SNS 등을 직접 조회해 숙박이용 정보 등을 이용한 협박성 글을 무단으로 등록할 수 있다는 점이다. 휴대폰 번호를 이용해 스미싱으로 유도해 불법 대출 등에 악용될 소지도 있다. 특히, 최종 조사를 통해 제휴점의 결제계좌 정보 등이 대거 유출되면서 이들을 타깃으로 한 범행 우려도 높아지고 있다. 혹시라도 협박성 메일이나 문자, 스미싱 등을 수신했을 경우 경찰 등에 즉각 신고해야 한다. |