모텔·호텔 예약앱 '여기어때', 4천명 고객정보 털렸다

여기어때 CF 캡처 

[인사이트] 황규정 기자 = 400만 회원을 보유한 숙박 O2O 서비스 '여기어때'에서 4천여명의 고객정보가 유출되는 사고가 발생했다.

특히 초보적인 수준의 해킹 공격에 속수무책으로 당한 것으로 알려져 보안 체계의 '허술함'을 두고 비난의 목소리가 커지고 있다.

25일 한국인터넷정보진흥원(KISA)과 보안업계에 따르면 최근 '여기어때'는 이름, 전화번호, 이메일 주소 등이 담긴 고객정보 데이터베이스(DB)를 해킹당했다.

이로 인해 현재까지 약 4천여명의 고객정보가 유출된 것으로 확인됐다. 하지만 회원수가 400만 가까이 되는 만큼 피해규모는 더 늘어날 수 있다는 것이 전문가들의 예측이다.

여기어때 측은 "해킹경로를 추적했더니 공격 중 90% 이상이 중국 IP로 확인됐다"며 "해커 일당이 개인정보를 유출해 고객들에게 스팸문자를 발송했다"고 설명했다.

또한 해커들은 여기어때 측에 '비트코인' 등 금전을 요구한 것으로 전해졌다.

숙박앱 '여기어때' 캡처

이번 고객정보 유출 사건과 관련 '여기어때'의 허술한 보완체계가 도마에 올랐다.

'여기어때'가 받았다는 해킹 기술(SQL인젝션 공격)이 그동안 많이 드러났던 가장 약한 공격이었기 때문.

이에 한국인터넷진흥원 관계자는 "SQL을 입력할 때 특수 문자를 사용하지 못하게 하는 등의 방법으로 방어를 강화할 수 있는데 뚫렸다"며 충분히 예방할 수 있는 사고였다고 지적했다.

이어 "여기어때는 DB를 암호화하지 않은 것으로 파악된다"며 "만약 암호화가 됐다면 해커들이 고객정보를 가져갔어도 실제 내용을 알기 어려웠을 것"이라고 밝혔다.

한편 현재 경찰은 정확한 사건 파악을 위해 수사를 진행하고 있으며, 여기어때 측은 공식 사과문을 통해 "향후 이런 일이 발생하지 않도록 보안조치를 강화해 나가겠다"고 말했다.