‘여기어때’ 고객개인정보 99만여건 유출

해커가 관리자 세션 아이디 탈취
예약·제휴점·회원정보 피해 확인

숙박 애플리케이션 ‘여기어때’의 개인정보 유출건수가 99만여건에 이르는 것으로 확인됐다.

26일 미래창조과학부와 방송통신위원회는 지난달 7일부터 17일까지 발생한 위드이노베이션 개인정보 유출 침해사고와 관련한 민관합동조사단의 조사 결과를 발표했다. 발표에 따르면 유출된 개인정보(중복제거)는 총99만584건으로 나타났다.

해커는 여기어때 마케팅센터 웹페이지를 ‘SQL 인젝션’이라는 수법으로 공격해 관리자 세션 아이디를 탈취한 것으로 드러났다. 이를 통해 외부에 노출된 ‘서비스 관리 웹페이지’를 관리자 권한으로 우회 접속하고 예약정보, 제휴점정보 및 회원정보를 유출한 것으로 조사됐다. 여기어때 홈페이지엔 해당 공격에 취약한 웹페이지가 존재했다.

방송통신위원회는 업체의 개인정보 보호조치 위반 사항에 대해 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’에 따라 과징금 부과 등 행정처분을 할 예정이다.

김명근 기자 dionys@donga.com