preLoad Image preLoad Image
검색 바로가기
주메뉴 바로가기
주요 기사 바로가기
다른 기사, 광고영역 바로가기
중앙일보 사이트맵 바로가기

"모텔서 즐거우셨나요?" 여기어때 해킹사건의 전말

[사진 '여기어때' 홈페이지 캡처]

[사진 '여기어때' 홈페이지 캡처]

◇숙박앱 ‘여기어때’ 해킹사건의 전모
숙박앱 ‘여기어때’를 해킹한 일당이 경찰에 붙잡혔다. 모텔 예약하는 손님들이 이용하는 앱인 탓에 지난 4월 해킹 사건 발표 당시 큰 파장이 일었다. ‘여기어때’의 이용자 수는 200만명에 달한다. 
 
이 가운데 거의 절반인 99만명의 개인정보 341만 건이 유출됐다. 이용자명과 휴대전화 번호는 물론 숙박 이용정보 등이 고스란히 빠져나갔다.
 
해킹은 지난 3월6일~17일 사이 중국동포 해커에 의해 이뤄졌다. 
IT업계에 근무하며 알게 된 이모(47)씨 등 일당은 중국동포 해커 남포(26)씨에게 해킹을 의뢰했다. 남씨는 돈을 받고 청부해킹을 하는 중국인 해커집단 소속인 것으로 조사됐다.
 
남씨로부터 개인정보를 받은 이씨 등은 ‘여기어때’를 협박하기 시작했다. 해킹 사실을 알리며 가상화폐인 비트코인으로 6억원을 요구했다. 여기어때 측이 응하지 않자 협박은 더 과감해졌다. 
 
앱 이용자 4600여명에게 “인증완료, ㅇㅇ님, X은 잘 하셨나요” “모텔에서 즐거우셨습니까?” 등 수치심을 유발하는 문자메시지를 보냈다. SNS에도 개인정보 5000건을 올리며 압박했지만 여기어때는 끝까지 금품 요구에 응하지 않았다고 한다.
 
경찰은 범행을 계획한 이씨와 해커 남씨 등 일당 4명을 구속하고 해외 도피 중인 공범 A씨를 추적 중이다. A씨는 남씨로부터 받은 개인정보 파일을 갖고 있는 탓에 추가 유출 우려도 있는 상태다. 경찰 관계자는 “해커 남씨의 PC에서 다른 홈페이지를 해킹해 얻은 개인정보 파일도 발견돼 추가 수사를 검토 중이다”고 말했다.
 
◇가장 흔한 수법에 털렸다
<span style=""""""""""""color:""""""""""" rgb(66,="""""""""""""""""""""" 66,="""""""""""""""""""""" 66);="""""""""""""""""""""" font-size:="""""""""""""""""""""" 14px;="""""""""""""""""""""" letter-spacing:="""""""""""""""""""""" normal;"="""""""""""""""""""""">씨디네트웍스가 발표한 ‘2016년 4분기 웹 공격 분석 보고서’. SQL인젝션이 두 번째로 자주 이용되는 해킹수법으로 조사됐다. [사진 씨디네트웍스 보고서]</span>

씨디네트웍스가 발표한 ‘2016년 4분기 웹 공격 분석 보고서’. SQL인젝션이 두 번째로 자주 이용되는 해킹수법으로 조사됐다. [사진 씨디네트웍스 보고서]

여기어때 측이 보안에 신경썼더라면 예방할 수 있는 ‘인재’였다는 점도 이번 조사로 드러났다. 해커 남씨가 이용한 해킹수법이 가장 흔히 쓰는 해킹수법이기 때문이다. 남씨는 데이터베이스(DB) 접근 페이지의 보안상 취약점을 이용한 'SQL인젝션(injection)' 등의 기법을 썼다.
 
SQL(Structured Query Language)은 DB를 만들고 유지하는 프로그래밍 언어의 일종이다. 보안취약점을 노려 SQL에 악의적인 코드를 심으면 해커의 의도대로 데이터를 조작, 제어할 수 있다. 비교적 난이도가 낮은 기법인데 비해 피해는 큰 탓에 자주 이용된다는 게 업계 관계자들의 설명이다. 콘텐츠 전송 서비스 기업 씨디네트웍스가 발표한 ‘2016년 4분기 웹 공격 분석 보고서’에 따르면, SQL 인젝션이 26%로 두 번째로 많다.
 
경찰 관계자는 “사용자 권한 정보를 가로채는 세션 하이재킹(Session Hijacking) 수법도 쓰였는데 이를 탐지·차단하는 체계가 없었고 SQL인젝션 공격에도 취약한 상태였다. 여기어때 홈페이지 보안 취약점이 개인정보 유출의 원인이다”고 설명했다. IT업계의 한 관계자도 “여기어때가 SQL인젝션에 뚫렸다는 얘기를 듣고 각사 보안 관계자들이 좀 놀랐다. 고급 해킹기술이 아니기 때문이다”고 말했다.
 
◇집단 소송 움직임도 가속화
[사진 '여기어때 개인정보 유출 집단소송' 카페 홈페이지]

[사진 '여기어때 개인정보 유출 집단소송' 카페 홈페이지]

개인정보가 유출된 피해자들의 집단 소송 움직임도 가속화되고 있다. 이미 지난 29일 일부 피해자들이 법률사무소를 통해 1인당 100만원씩의 손해배상을 요구하는 소송을 서울중앙지법에 냈다. 법조계에 따르면 다른 법무법인들도 여기어때 피해자들의 집단 손해배상 소송을 준비 중이라고 한다.
 
이번 집단소송이 특히 주목 받는 건 징벌적 손해배상이 처음 적용되는 사례여서다. 지난해 7월 25일부터 개인정보보호법과 정보통신망 이용촉진 및 정보보호에 관한 법률, 신용정보의 이용 및 보호에 관한 법률 등이 개정되며 징벌적 손해배상제도가 도입됐다. 
 
또 개인정보가 유출된 경우 피해자가 실제 피해를 증명하지 않아도 300만원 이하의 범위에서 손해액을 인정할 수 있도록 하는 '법정 손해배상제도'도 적용된다.
 
한영익 기자 hanyi@joongang.co.kr
AD
온라인 구독신청 지면 구독신청

중앙일보 핫 클릭

PHOTO & VIDEO

shpping&life

뉴스레터 보기

김민석의 Mr. 밀리터리 군사안보연구소

군사안보연구소는 중앙일보의 군사안보분야 전문 연구기관입니다.
군사안보연구소는 2016년 10월 1일 중앙일보 홈페이지 조인스(https://news.joins.com)에 문을 연 ‘김민석의 Mr. 밀리터리’(https://news.joins.com/mm)를 운영하며 디지털 환경에 특화된 군사ㆍ안보ㆍ무기에 관한 콘텐트를 만들고 있습니다.

연구소 사람들
김민석 소장 : kimseok@joongang.co.kr (02-751-5511)
국방연구원 전력발전연구부ㆍ군비통제센터를 거쳐 1994년 중앙일보에 입사한 국내 첫 군사전문기자다. 국방부를 출입한 뒤 최장수 국방부 대변인(2010~2016년)으로 활동했다. 현재는 군사안보전문기자 겸 논설위원으로 한반도 군사와 안보문제를 깊게 파헤치는 글을 쓰고 있다.

박용한 연구위원 : park.yonghan@joongang.co.kr (02-751-5516)
‘북한의 급변사태와 안정화 전략’을 주제로 북한학 박사를 받았다. 국방연구원 안보전략연구센터ㆍ군사기획연구센터와 고려대학교 아세아문제연구소 북한연구센터에서 군사ㆍ안보ㆍ북한을 연구했다. 2016년부터는 중앙일보에서 군사ㆍ안보 분야 취재를 한다.