/여기어때 모바일 앱 화면 캡처
◇성인·숙박 서비스만 노리는 해킹 기승=보안업계에 따르면 성인·숙박 관련 웹사이트·앱(애플리케이션)만을 노리는 해킹범죄가 갈수록 늘고 있다.
‘여기어때’도 비슷한 상황. 현재까지 4000여건에 달하는 고객 체크인 정보가 빠져나간 것으로 파악됐다. 회원가입을 위해 필요한 e메일, 소셜 아이디부터 체크인할 때 기록하게 돼 있는 예약자·예약날짜·연락처 등 정보까지 송두리째 뺏겼다.
보안업계는 해커가 실제 예약을 진행하지 않은 고객들의 정보도 모두 빼간 것으로 추정, 앞으로 유출된 개인 정보는 해당업체가 밝힌 4000개 보다 더 늘어날 수 있다고 전망했다.
금전적·정신적 피해도 발생하고 있다. 고객정보를 빼돌린 해커 일당은 지난 24일 위드이노베이션 직원에게 이메일을 보내 수 억 원 규모의 비트코인을 요구했다. 이용자들에게는 고객정보를 통해 날짜와 숙박업체명을 거론하며 ‘즐거우셨나요’, ‘황홀하셨나요’ 등과 같은 수치심을 일으키는 내용의 문자 메시지를 보낸 것으로 확인됐다.
/여기어때 홈페이지에 올라온 공지문 /여기어때 홈페이지 화면 캡처
업계는 이번 해킹이 해커들이 기본적으로 쓰는 ‘SQL인젝션’ 방식을 활용한 것으로 추정했다. 이 방식은 해커가 주소창이나 아이디, 비밀번호 입력창에 명령어만 입력하면 웹사이트에 손쉽게 접속, 원하는 정보를 탈취할 수 있다.
한 전문가는 “SQL인젝션은 해커들이 자주 쓰는 기본 해킹법”이라며 “암호화가 해독됐다는 것 자체만으로도 관리 부실 책임에서 벗어나기 힘들 것“이라고 말했다.
일각에선 ‘여기어때’ 해킹을 계기로 O2O 업체들을 대상으로 한 대비책 마련을 서둘러야 한다는 지적이 나온다. 체크인 정보 등을 악용해 개인이나 업체에 뒷돈을 요구하는 2차 피해 가능성도 높기 때문이다.
제도적 보완 필요성도 요구된다. ‘여기어때’는 지난해 숙박업계 처음으로 개인정보보호협회로부터 ‘보안 e프라이버시’ 인증을 받았다며 마케팅에 적극 활용했다. 하지만 이는 법에서 요구하는 기본사항을 만족하는 업체에 부여하는 수준의 제도로 완벽한 보안 대비책으로 보기 어렵다는 게 전문가들의 중론이다. 한편 위드이노베이션 측은 “경찰 조사로 책임소재가 명확해지면 피해 보상 대책을 마련하겠다”라고 밝혔다.