"모텔서 즐거우셨나요?" 여기어때 해킹사건의 전말

[사진 '여기어때' 홈페이지 캡처]

숙박앱 ‘여기어때’를 해킹한 일당이 경찰에 붙잡혔다. 모텔 예약하는 손님들이 이용하는 앱인 탓에 지난 4월 해킹 사건 발표 당시 큰 파장이 일었다. ‘여기어때’의 이용자 수는 200만명에 달한다.

이 가운데 거의 절반인 99만명의 개인정보 341만 건이 유출됐다. 이용자명과 휴대전화 번호는 물론 숙박 이용정보 등이 고스란히 빠져나갔다.

해킹은 지난 3월6일~17일 사이 중국동포 해커에 의해 이뤄졌다.
IT업계에 근무하며 알게 된 이모(47)씨 등 일당은 중국동포 해커 남포(26)씨에게 해킹을 의뢰했다. 남씨는 돈을 받고 청부해킹을 하는 중국인 해커집단 소속인 것으로 조사됐다.

남씨로부터 개인정보를 받은 이씨 등은 ‘여기어때’를 협박하기 시작했다. 해킹 사실을 알리며 가상화폐인 비트코인으로 6억원을 요구했다. 여기어때 측이 응하지 않자 협박은 더 과감해졌다.

앱 이용자 4600여명에게 “인증완료, ㅇㅇ님, X은 잘 하셨나요” “모텔에서 즐거우셨습니까?” 등 수치심을 유발하는 문자메시지를 보냈다. SNS에도 개인정보 5000건을 올리며 압박했지만 여기어때는 끝까지 금품 요구에 응하지 않았다고 한다.

경찰은 범행을 계획한 이씨와 해커 남씨 등 일당 4명을 구속하고 해외 도피 중인 공범 A씨를 추적 중이다. A씨는 남씨로부터 받은 개인정보 파일을 갖고 있는 탓에 추가 유출 우려도 있는 상태다. 경찰 관계자는 “해커 남씨의 PC에서 다른 홈페이지를 해킹해 얻은 개인정보 파일도 발견돼 추가 수사를 검토 중이다”고 말했다.

씨디네트웍스가 발표한 ‘2016년 4분기 웹 공격 분석 보고서’. SQL인젝션이 두 번째로 자주 이용되는 해킹수법으로 조사됐다. [사진 씨디네트웍스 보고서]

여기어때 측이 보안에 신경썼더라면 예방할 수 있는 ‘인재’였다는 점도 이번 조사로 드러났다. 해커 남씨가 이용한 해킹수법이 가장 흔히 쓰는 해킹수법이기 때문이다. 남씨는 데이터베이스(DB) 접근 페이지의 보안상 취약점을 이용한 'SQL인젝션(injection)' 등의 기법을 썼다.

SQL(Structured Query Language)은 DB를 만들고 유지하는 프로그래밍 언어의 일종이다. 보안취약점을 노려 SQL에 악의적인 코드를 심으면 해커의 의도대로 데이터를 조작, 제어할 수 있다. 비교적 난이도가 낮은 기법인데 비해 피해는 큰 탓에 자주 이용된다는 게 업계 관계자들의 설명이다. 콘텐츠 전송 서비스 기업 씨디네트웍스가 발표한 ‘2016년 4분기 웹 공격 분석 보고서’에 따르면, SQL 인젝션이 26%로 두 번째로 많다.

경찰 관계자는 “사용자 권한 정보를 가로채는 세션 하이재킹(Session Hijacking) 수법도 쓰였는데 이를 탐지·차단하는 체계가 없었고 SQL인젝션 공격에도 취약한 상태였다. 여기어때 홈페이지 보안 취약점이 개인정보 유출의 원인이다”고 설명했다. IT업계의 한 관계자도 “여기어때가 SQL인젝션에 뚫렸다는 얘기를 듣고 각사 보안 관계자들이 좀 놀랐다. 고급 해킹기술이 아니기 때문이다”고 말했다.

[사진 '여기어때 개인정보 유출 집단소송' 카페 홈페이지]

개인정보가 유출된 피해자들의 집단 소송 움직임도 가속화되고 있다. 이미 지난 29일 일부 피해자들이 법률사무소를 통해 1인당 100만원씩의 손해배상을 요구하는 소송을 서울중앙지법에 냈다. 법조계에 따르면 다른 법무법인들도 여기어때 피해자들의 집단 손해배상 소송을 준비 중이라고 한다.

이번 집단소송이 특히 주목 받는 건 징벌적 손해배상이 처음 적용되는 사례여서다. 지난해 7월 25일부터 개인정보보호법과 정보통신망 이용촉진 및 정보보호에 관한 법률, 신용정보의 이용 및 보호에 관한 법률 등이 개정되며 징벌적 손해배상제도가 도입됐다.

또 개인정보가 유출된 경우 피해자가 실제 피해를 증명하지 않아도 300만원 이하의 범위에서 손해액을 인정할 수 있도록 하는 '법정 손해배상제도'도 적용된다.

한영익 기자 hanyi@joongang.co.kr