브리핑룸

위드이노베이션 개인정보 침해사고 조사결과 발표

2017.04.26 미래창조과학부

첨부파일

위드이노베이션(여기어때) 개인정보 유출 침해사고 조사 결과
- 홈페이지 취약점 공격으로 개인정보 유출 발생 -

□ 미래창조과학부(이하 ‘미래부’)와 방송통신위원회(이하 ‘방통위’)는 지난 3.7(화)에서 3.17(금)까지 발생한 ㈜위드이노베이션 개인정보 유출 침해사고 관련 ‘민․관합동조사단(이하 조사단)^*’의 조사 결과를 발표하였다.

* 미래부ㆍ방통위, 한국인터넷진흥원 및 민간 전문가로 구성․운영(3.23~)

o 이번 조사는 ㈜위드이노베이션 서비스 이용고객을 대상으로 총 4,817건의 ‘협박성 음란문자(SMS)’가 발송됨에 따라 확인된 개인정보 유출 침해사고에 대한 신속한 대응과 사고 원인 분석을 통한 유사 피해 재발 방지 등을 위해 실시되었다.

□ 조사단은 확보한 사고 관련자료(웹서버 로그 1,560만건, 공격서버ㆍPC 5대) 분석 및 재연을 통해 해킹의 구체적인 방법 및 절차,개인정보 유출규모 등을 확인하였다.

해커는 ‘여기어때 마케팅센터 웹페이지’에 SQL 인젝션* 공격을 통해 DB에 저장된 관리자 세션값**을 탈취하였고,
* SQL(Structured Query Language) injection : 데이터베이스에 대한 질의 값(SQL 구문)을 조작하여 정상적인 자료 이외에 해커가 원하는 자료까지 데이터베이스로 부터 유출 가능한 공격기법

** Session ID : 웹 통신에서 접속 또는 로그인한 사용자를 구분하기 위해 서버에서 할당하는 사용자 고유 식별값

탈취한 관리자 세션값으로 외부에 노출된 ‘서비스 관리 웹페이지’를 관리자 권한으로 우회 접속하여(세션변조 공격) 예약정보, 제휴점정보 및 회원정보를 유출한 것으로 조사되었다.

o 이를 통해 해커는 서비스 관리 웹페이지에서 제공하는 메뉴를 이용하여 제휴점정보(EXCEL) 및 예약내역(CSV)은 파일로, 회원가입정보는 화면조회를 통해, 개인정보(중복제거) 총 990,584건을 유출한 것으로 조사되었다.
<개인정보 유출 상세 내역>

구분	정보 항목	건수 (중복제거)
예약 정보	숙박일수, 제휴점명, 객실명, 예약일시, 예약자, 회원번호, 휴대폰번호, 결제방법, 금액, 입ㆍ퇴실 가능시간 등	3,239,210건 휴대폰 기준 (910,705건)
제휴점 정보	업체명, 은행명, 계좌번호, 예금주, 휴대전화번호 등	1,163건 업체명 기준 (1,163건)
회원 ^정보	이메일주소, 이름 또는 닉네임, 기기정보 등	178,625건 이메일 기준 (78,716건)
합계		3,418,998건 ^(990,584^건⁾

※ 휴대폰 기준 910,705건과 이메일 기준 78,716건의 중복 여부에 대해서는 방통위에서 추가 조사 중

o ㈜위드이노베이션 홈페이지에는 비정상적인 DB 질의에 대한 검증절차가 없어 SQL 인젝션 공격에 취약한 웹페이지가 존재하였으며, 탈취된 관리자 세션값을 통한 우회접속(세션변조 공격)을 탐지ㆍ차단하는 체계가 없는 것으로 확인되었다.

□ 조사단은 ㈜위드이노베이션 침해사고 조사과정에서 발견된 문제점을 개선ㆍ보완할 수 있도록 조사결과 및 개선사항 공유 등 보안강화 기술지원과 함께 ㈜위드이노베이션 홈페이지 대상으로 취약점 점검을 실시하는 한편,

o 지난 인터파크 개인정보 대량 유출시 효율적으로 대응하기 위하여 방통위에서 마련한 ｢개인정보 유출 대응 매뉴얼｣에 따라 유출 신고 및 전파,유출통지, 이용자 피해방지를 위한 대책 수립 등이 이루어지도록 조치하였다.

□ 아울러 미래부는 민감한 정보를 다루는200여개 O2O 서비스 기업에 대해 유사 피해를 차단하고 보안성을 높이기 위하여 기업의 신청을 받아 보안취약점 점검 및 기술지원을 4월 13일부터 실시하고,

o 스타트업 등 중소기업을 대상으로 홈페이지 웹서비스 및 소스코드 취약점 점검, 디도스사이버대피소, 웹방화벽(캐슬) 등 보안도구 보급, 보안컨설팅 등 맞춤형 정보보안 지원을 강화할 계획이다.

□ 또한, 방통위는 해당 업체의 개인정보 보호조치 위반 사항에 대해서는 ｢정보통신망 이용촉진 및 정보보호 등에 관한 법률｣에 따라 과징금 부과 등 행정처분할 예정이며, 조속한 시일 내에 관련 업계를 대상으로 개인정보보호를 위한 교육 및 기술적·관리적 보호조치 준수 여부에 대한 일제 점검을 추진할 계획이다.

□ 민‧관합동조사단 단장(미래부 송정수 정보보호정책관)은 “정보보호 투자는 기업의 연속성 확보를 위한 선택이 아닌 필수사항으로 기업 스스로 정보보호 투자 확대와 인식제고 노력이 필요하다”라고 강조하고, “정부도 스타트업 등 중소기업을 대상으로 기본적인 정보보호 체계를 갖출 수 있도록 지원을 확대해 나가겠다”고 밝혔다.

* 자세한 내용은 붙임을 참고하시기 바랍니다.

“이 자료는 미래창조과학부의 보도자료를 전재하여 제공함을 알려드립니다.”

<자료출처=정책브리핑 www.korea.kr>

OPEN 공공누리 제 1유형 공공저작물 자유이용허락 출처표시

텍스트 데이터는 공공누리 출처표시의 조건에 따라 자유이용이 가능합니다.: 단, 사진, 이미지, 일러스트, 동영상 등의 일부 자료는 문화체육관광부가 저작권 전부를 갖고 있지 아니하므로, 자유롭게 이용하기 위해서는 반드시 해당 저작권자의 허락을 받으셔야 합니다.

저작권정책 담당자안내

정책브리핑 공공누리 담당자 안내

문의처 : 문화체육관광부 정책포털과

문화체육관광부 정책포털과 공공누리 담당자
뉴스	정책뉴스, 기고/칼럼 등 044-203-3048 국민이 말하는 정책 044-203-3052
멀티미디어	영상, 숏폼 044-203-3056 카드/한컷, 정책오디오 044-203-3055 사진 044-203-3050 웹툰 044-203-3055
브리핑룸	사실은 이렇습니다 044-203-3048 브리핑자료 044-203-3054 연설문 044-203-3054
정책자료	국정신문 044-203-3046
소통채널+	대한민국정부 누리소통망 044-203-3046