◇여기어때 해킹 사건 전말
A와 B는 지난해 11월경 ‘여기어때’ 이용자들의 개인정보를 해킹한 뒤 이를 이용해 돈을 뜯어내기로 공모한 후, B는 C에게 ‘여기어때’를 해킹하면 1억 원을 주겠다면서 해킹할 사람을 구해달라고 했고 C가 D에게 이를 다시 전달하고, D는 중국인 해커 E에게 1천만 원을 주겠다고 하며 해킹을 의뢰했다.
중국인 해커 E는 구두약속을 하고 3월 6일에서 17일 ‘여기어때’ 홈페이지를 해킹해 이용자들의 숙박예약정보, 회원정보, 제휴점 정보를 유출했다.
A․B는 중국인 해커 E로부터 넘겨받은 ‘여기어때’ 개인정보파일을 빌미로, ‘여기어때’ 측에 개인정보 유출사실을 통보하고 3월 21일부터 4월 18일까지 최초 비트코인 3억 원에서 최종 6억 원의 현금을 요구하며 협박했으나 ‘여기어때’ 측이 응하지 않아 미수에 그쳤다.
A․B는 ‘여기어때’ 측으로부터 돈을 받지 못하게 되자 C에게 해킹 대가금 지급을 보류했으나, C는 D로부터의 대가금에 대한 강한 압박을 받아 D에게는 3천만 원, 중국인 해커 E에게는 1천만 원을 송금했다.
경찰청은 피의자들을 체포하고 관련 자료를 압수하면서 ‘여기어때’로부터 유출된 개인정보 원본파일을 모두 압수했으며, 특히 중국인 해커 E의 하드디스크 등에서는 이번 건 개인정보 파일 외에도 다수의 인터넷 홈페이지에 유출한 개인정보파일이 다수 발견되어 추가 수사를 검토 중이라고 밝혔다.
이어 현재까지 수사상황 및 압수물 분석결과로 판단할 때 ‘여기어때’에서 유출된 개인정보가 피의자들을 통해 제3자에게 제공된 흔적이나 정황은 발견할 수 없었다고 전했다.
다만, 해외에 체류 중인 피의자 B가 ‘여기어때’ 개인정보파일 사본을 소지하고 있는 사실이 확인되어, B의 체포와 함께 사본 파일을 확보하기 위해 노력하고 있다고 밝혔다.
◇해킹사건의 특징과 범행 수법
경찰 측은 이번 사건의 특징과 범행 수법에 대해 다음과 같이 설명했다.
중국인 해커 E는 중국 해커 팀에 소속되어 활동 중이며, 국내에서 해킹 의뢰를 받아 다수의 사이트를 해킹한 것으로 보인다. 개인정보 유출 목적의 프로그램을 직접 제작, 유출된 개인정보가 의뢰인에게 자동으로 전달되도록 했다.
한편 홈페이지 보안 취약점이 개인정보 유출 원인으로 분석했다. ‘여기어때’ 홈페이지는 SQL injection 공격에 취약한 상태였고, 관리자 홈페이지는 Session Hijacking 공격을 탐지 및 차단하는 체계가 없었다.
△SQL injection은 DB에 접근하는 페이지의 취약점을 이용한 공격이며 △Session Hijacking은 정당한 사용자의 권한 정보를 가로채는 공격이다.
이들은 개인정보 유출 직후, 피해업체 협박 및 추적을 피하기 위해 해외로 출국했고 약 1개월간 지속적이고 다양한 방법으로 피해업체를 협박했다.
협박 경로를 보면, △전자 우편(19회) △고객센터 게시판 글 게시(2회) △이용자들에게 문자메시지(4,713건) 발송 △페이스북에 유출 개인정보(5천 건) 등을 게시한 것으로 조사됐다.
마지막으로 경찰은 해외에 체류 중인 B의 조속한 체포와 개인정보 파일 회수 및 보이스 피싱 등 2차 피해를 차단하기 위해 추가 수사를 계속 진행할 예정이며 관련 기관과의 정보공유를 통해 유사사례가 재발되지 않도록 하는 한편, 개인정보를 보관하고 있는 업체에도 취약점 점검 등 개인정보 보호조치를 강화할 것을 권고했다.
★정보보안 대표 미디어 데일리시큐!★