합동조사단, ‘여기어때’ 해킹 개인정보 99만여건 유출 확인
입력 2017.04.26 (11:19)
수정 2017.04.26 (11:36)
읽어주기 기능은 크롬기반의
브라우저에서만 사용하실 수 있습니다.
숙박 정보 모바일 앱 '여기어때'에서 고객 개인정보 99만건이 유출된 것으로 확인됐다.
미래창조과학부, 방송통신위원회, 한국인터넷진흥원, 민간 전문가 등으로 구성된 민·관 합동조사단은 오늘(26일) 지난달 발생한 위드이노베이션의 '여기어때' 해킹 사고 조사결과를 발표하면서 웹서버 로그 1천560만건과 공격에 이용된 서버·PC 등 컴퓨터 5대를 분석한 결과, 중복을 제거하고도 도합 99만584건의 개인정보가 유출됐음을 확인했다고 설명했다.
이는 중복을 포함할 경우 340여만건의 개인정보가 유출된 것으로 조사단은 해커가 여기어때 마케팅센터 웹페이지를 공격해 데이터베이스에 저장된 관리자 세션아이디를 탈취한 'SQL 인젝션' 수법이라고 밝혔다.
SQL 인젝션은 데이터베이스에 대한 질의를 조작해 정상적 자료 이외에 해커가 원하는 데이터를 뽑아 내는 공격 기법이다.
해커는 탈취한 관리자 세션아이디를 이용해 외부에 노출된 '서비스 관리 웹페이지'에 관리자 권한으로 우회 접속했고, 예약정보·제휴점정보·회원정보 등을 빼 간 것으로 파악됐다.
이와 관련해 미래부는 이번 사고를 계기로 민감한 개인정보를 다루는 200여개 O2O(온·오프라인 연계) 서비스 기업으로부터 신청을 받아 보안취약점 점검과 기술지원을 지난 13일부터 실시중이다.
방통위는 위드이노베이션의 개인정보 보호조치 위반 사항에 대해 정보통신망 이용촉진 및 정보보호 등에 관한 법률에 따라 과징금 부과 등 행정처분을 내릴 예정이다.
미래창조과학부, 방송통신위원회, 한국인터넷진흥원, 민간 전문가 등으로 구성된 민·관 합동조사단은 오늘(26일) 지난달 발생한 위드이노베이션의 '여기어때' 해킹 사고 조사결과를 발표하면서 웹서버 로그 1천560만건과 공격에 이용된 서버·PC 등 컴퓨터 5대를 분석한 결과, 중복을 제거하고도 도합 99만584건의 개인정보가 유출됐음을 확인했다고 설명했다.
이는 중복을 포함할 경우 340여만건의 개인정보가 유출된 것으로 조사단은 해커가 여기어때 마케팅센터 웹페이지를 공격해 데이터베이스에 저장된 관리자 세션아이디를 탈취한 'SQL 인젝션' 수법이라고 밝혔다.
SQL 인젝션은 데이터베이스에 대한 질의를 조작해 정상적 자료 이외에 해커가 원하는 데이터를 뽑아 내는 공격 기법이다.
해커는 탈취한 관리자 세션아이디를 이용해 외부에 노출된 '서비스 관리 웹페이지'에 관리자 권한으로 우회 접속했고, 예약정보·제휴점정보·회원정보 등을 빼 간 것으로 파악됐다.
이와 관련해 미래부는 이번 사고를 계기로 민감한 개인정보를 다루는 200여개 O2O(온·오프라인 연계) 서비스 기업으로부터 신청을 받아 보안취약점 점검과 기술지원을 지난 13일부터 실시중이다.
방통위는 위드이노베이션의 개인정보 보호조치 위반 사항에 대해 정보통신망 이용촉진 및 정보보호 등에 관한 법률에 따라 과징금 부과 등 행정처분을 내릴 예정이다.
■ 제보하기
▷ 카카오톡 : 'KBS제보' 검색, 채널 추가
▷ 전화 : 02-781-1234, 4444
▷ 이메일 : kbs1234@kbs.co.kr
▷ 유튜브, 네이버, 카카오에서도 KBS뉴스를 구독해주세요!
- 합동조사단, ‘여기어때’ 해킹 개인정보 99만여건 유출 확인
-
- 입력 2017-04-26 11:19:09
- 수정2017-04-26 11:36:53
숙박 정보 모바일 앱 '여기어때'에서 고객 개인정보 99만건이 유출된 것으로 확인됐다.
미래창조과학부, 방송통신위원회, 한국인터넷진흥원, 민간 전문가 등으로 구성된 민·관 합동조사단은 오늘(26일) 지난달 발생한 위드이노베이션의 '여기어때' 해킹 사고 조사결과를 발표하면서 웹서버 로그 1천560만건과 공격에 이용된 서버·PC 등 컴퓨터 5대를 분석한 결과, 중복을 제거하고도 도합 99만584건의 개인정보가 유출됐음을 확인했다고 설명했다.
이는 중복을 포함할 경우 340여만건의 개인정보가 유출된 것으로 조사단은 해커가 여기어때 마케팅센터 웹페이지를 공격해 데이터베이스에 저장된 관리자 세션아이디를 탈취한 'SQL 인젝션' 수법이라고 밝혔다.
SQL 인젝션은 데이터베이스에 대한 질의를 조작해 정상적 자료 이외에 해커가 원하는 데이터를 뽑아 내는 공격 기법이다.
해커는 탈취한 관리자 세션아이디를 이용해 외부에 노출된 '서비스 관리 웹페이지'에 관리자 권한으로 우회 접속했고, 예약정보·제휴점정보·회원정보 등을 빼 간 것으로 파악됐다.
이와 관련해 미래부는 이번 사고를 계기로 민감한 개인정보를 다루는 200여개 O2O(온·오프라인 연계) 서비스 기업으로부터 신청을 받아 보안취약점 점검과 기술지원을 지난 13일부터 실시중이다.
방통위는 위드이노베이션의 개인정보 보호조치 위반 사항에 대해 정보통신망 이용촉진 및 정보보호 등에 관한 법률에 따라 과징금 부과 등 행정처분을 내릴 예정이다.
미래창조과학부, 방송통신위원회, 한국인터넷진흥원, 민간 전문가 등으로 구성된 민·관 합동조사단은 오늘(26일) 지난달 발생한 위드이노베이션의 '여기어때' 해킹 사고 조사결과를 발표하면서 웹서버 로그 1천560만건과 공격에 이용된 서버·PC 등 컴퓨터 5대를 분석한 결과, 중복을 제거하고도 도합 99만584건의 개인정보가 유출됐음을 확인했다고 설명했다.
이는 중복을 포함할 경우 340여만건의 개인정보가 유출된 것으로 조사단은 해커가 여기어때 마케팅센터 웹페이지를 공격해 데이터베이스에 저장된 관리자 세션아이디를 탈취한 'SQL 인젝션' 수법이라고 밝혔다.
SQL 인젝션은 데이터베이스에 대한 질의를 조작해 정상적 자료 이외에 해커가 원하는 데이터를 뽑아 내는 공격 기법이다.
해커는 탈취한 관리자 세션아이디를 이용해 외부에 노출된 '서비스 관리 웹페이지'에 관리자 권한으로 우회 접속했고, 예약정보·제휴점정보·회원정보 등을 빼 간 것으로 파악됐다.
이와 관련해 미래부는 이번 사고를 계기로 민감한 개인정보를 다루는 200여개 O2O(온·오프라인 연계) 서비스 기업으로부터 신청을 받아 보안취약점 점검과 기술지원을 지난 13일부터 실시중이다.
방통위는 위드이노베이션의 개인정보 보호조치 위반 사항에 대해 정보통신망 이용촉진 및 정보보호 등에 관한 법률에 따라 과징금 부과 등 행정처분을 내릴 예정이다.
-
-
차정인 기자 jicha@kbs.co.kr
차정인 기자의 기사 모음
-
이 기사가 좋으셨다면
-
좋아요
0
-
응원해요
0
-
후속 원해요
0
오늘의 핫 클릭
실시간 뜨거운 관심을 받고 있는 뉴스
헤드라인
많이 본 뉴스
-
각 플랫폼에서 최근 1시간 동안 많이 본 KBS 기사를 제공합니다.
-
각 플랫폼에서 최근 1시간 동안 많이 본 KBS 기사를 제공합니다.
-
각 플랫폼에서 최근 1시간 동안 많이 본 KBS 기사를 제공합니다.
이 기사에 대한 의견을 남겨주세요.