위드이노베이션(대표 심명섭)은 중국 해커로 추정되는 공격자가 숙박 애플리케이션(앱) ‘여기어때’ 데이터베이스(DB)에 접근해 4000건의 고객정보를 탈취했다고 24일 밝혔다.

당초 위드이노베이션은 “중국발 사드 보복 공격으로 무게를 두고 있다”며 “이달부터 200회가량 공격이 들어왔는데, 이중 90%가 중국 IP를 사용했었고 SQL 인젝션 공격 흔적이 발견됐다”고 말했다. 최근 사드 보복 공격을 주창한 중국 해커가 SQL 인젝션을 통한 한국 공격을 예고한 것을 두고 한 말이다.

현재 경찰과 미래창조과학부, 방송통신위원회, 한국인터넷진흥원은 이번 정보 유출과 관련해 조사에 착수한 상태다.

미래창조과학부 측은 “조사를 더 진행해 봐야 정확하게 알 수 있겠으나, 현재까지는 중국 등 공격지가 나오지 않았다”며 “해커가 여기어때 측에 협박메일을 보낸 것은 사실”이라고 밝혔다.

한국인터넷진흥원 측은 “중국 사드 보복 연관성은 크게 있어 보이지 않는다”며 “중국발 해킹인지에 대해서는 조사 중이며, SQL 인젝션 공격이 이뤄진 것은 맞다”고 설명했다.

◆여기어때 고객정보 유출, 금전 노린 해킹=이번 해킹이 중국 사드보복과 무관한 정황은 곳곳에서 찾을 수 있다.

지금까지 사드 반대를 외친 중국 해커들은 정치적 메시지를 남겨 왔다. 지난 7일 발생한 롯데 디도스(DDoS) 공격의 경우, 중국 해커들은 한국에 선전포고를 먼저 남겼다. 웹페이지 화면을 바꾸는 화면변조(디페이스) 공격 때도 중국 해커들은 자신의 소속을 밝히며 공개적으로 사드를 반대하는 화면으로 전환시켰다.

여기어때 고객정보 유출 건은 앞서 언급한 사드보복 공격과 다르다. 해커는 여기어때 고객정보를 탈취한 후 국내 대량 문자발송업체까지 해킹했다. 성적 수치심을 느낄 수 있는 메시지를 보내 고객이 직접 회사 측에 항의하게 만들었고, 두 차례의 협박메일을 보내 비트코인을 통해 수억원을 보낼 것을 요구했다. 사드배치 반대와 같은 정치적 목적을 드러내는 해커들은 금전적 탈취를 목적으로 삼지 않는다.

보안업계 전문가는 “시기상으로는 중국 측 사드보복 공격이 많은 것은 사실이지만, 여기어때 고객정보 유출은 연관성을 찾기 어렵다”며 “중국 측에서 공격을 했다면, 정치적 목적이 아닌 개인적 이득을 위한 것으로 추정 가능하다”고 제언했다.

이어 “대부분 공격이 중국 IP에서 발생했다고 중국발 공격이라고 단정하기 어렵다”며 “대부분 해커는 근거지를 숨기기 위해 IP를 공유해 접근한다”고 덧붙였다.

◆여기어때 보안상태 ‘빨간 불’=위드이노베이션에 따르면 해커는 SQL 인젝션 공격을 통해 일차적으로 내부 관리자의 아이디와 패스워드를 탈취했다. 패스워드는 암호화된 상태였지만 해커는 해독에 성공했고, 문자메시지(SMS) 인증과정까지 해킹해 내부 운영툴에 접속할 수 있었다.

SQL 인젝션 공격은 데이터베이스(DB) 해킹을 통한 정보 유출에 흔히 쓰이는 해킹 기법이다. 최근 한 중국 해커가 이 공격을 사용해 한국을 총 공격하자고 선동하기는 했으나, 이는 중국만의 전유물 같은 공격기법이 아니다. 과거부터 줄곧 활용돼 온 해킹 수법이다.

중국 해커의 선전포고에 대해 가장 우려하던 곳은 대기업·정부기관이 아닌 중소·영세기업이다. 대부분의 규모 있는 기업 및 기관들은 보안코딩 등을 통해 SQL 인젝션 방어태세를 갖추고 있다. 그만큼 흔히 쓰이는 공격기법 중 하나다. 한국인터넷진흥원도 SQL 인젝션 공격에 여러 번 주의를 주면서, 이와 관련된 웹보안 가이드까지 제작·배포한 바 있다.

또한, 암호화된 비밀번호가 해독됐다는 것은 암호관리에 취약했다는 것을 방증한다. 일방향 암호화됐다면 해커라도 쉽게 해독할 수 없다. 평이한 패턴의 비밀번호를 사용했다거나 패스워드 관리를 잘못 했다는 것으로 해석된다.

또 다른 보안업계 전문가는 “어떤 수준의 SQL 인젝션 공격을 사용했느냐에 따라 다르겠지만, 만약 기본적인 공격 수준에 당했다면 보안에 소홀했다는 것”이라며 “패스워드를 해독했다는 것은 분명 암호관리를 취약하게 해 왔다는 것”이라고 지적했다.

◆4000건 유출? 피해 확대 가능성 존재=위드이노베이션이 밝힌 고객정보 유출 규모는 4000건이다. 유출된 고객정보는 이름, 전화번호, 예약한 숙소 정보다.

위드이노베이션 측은 “여기어때는 가입 때 개인정보를 요구하지 않으며 네이버나 페이스북 로그인 등을 통해 이용할 수 있기 때문에 숙소를 예약한 건에 대한 정보만 유출됐다고 보면 된다”고 전했다.

하지만, 4000건의 유출된 고객정보는 함께 해킹한 국내 대량 문자발송업체을 통해 주고 받은 문자 건수로 확인된 결과물일 뿐이다. 여기어때 가입건수는 390만건에 달한다. 정보유출 규모가 확대될 가능성을 배제할 수 없다.

보안업계 전문가는 “공격을 통해 얻은 일부 정보만으로도 결합시켜 완전한 개인정보를 얻을 수 있다”며 “4000건 유출규모 이상의 피해를 예측할 수 있다”고 강조했다.

또 “위드이노베이션은 개인정보 유출을 인지한 후 24시간 내 방송통신위원회와 경찰에 신속하게 신고했다고 밝혔으나, 실제로는 두 번째 협박메일을 받은 후에야 신고한 것으로 알고 있다”며 “정보보호관리체계(ISMS)도 받지 않았으며, 보안에 대해 안일하게 대응한 것으로 보인다”고 말을 보탰다.

<최민지 기자>cmj@ddaily.co.kr