여기어때가 홈페이지에 올린 사과문. /사진=여기어때 홈페이지 캡처
여기어때가 홈페이지에 올린 사과문. /사진=여기어때 홈페이지 캡처

회원수만 400만명에 달하는 숙박 O2O업체 ‘여기어때’가 초보적 수준의 해킹에 뚫리자 비판의 목소리가 들끓고 있다.

25일 한국인터넷정보진흥원(KISA)과 보안업계에 따르면 최근 여기어때는 고객의 이름과 전화번호, 이메일 주소 등이 담긴 고객 데이터베이스(DB)를 해킹당했다. 이로 인해 약 4000명의 고객정보가 유출된 것으로 현재까지 파악됐지만 피해규모는 더 늘어날 것으로 관측된다.

이에 방송통신위원회는 24일 피해규모 파악을 위한 현장조사에 나섰다. 경찰도 현재 비공개로 수사를 진행하고 있다.

여기어때 해킹에 사용된 방식은 ‘SQL인젝션’으로 파악됐다. SQL인젝션은 해커가 주소창이나 아이디·비밀번호 입력창에 명령어를 입력하고 웹사이트에 침투, 서버에서 정보를 탈취하는 초보적 수준의 해킹방식이다.


여기어때 서버에 침입한 해커는 SQL인젝션 방식을 통해 내부 직원의 아이디와 비밀번호를 탈취하고 나아가 문자메시지 인증과정까지 해킹해 내부 운영서버에 침투했다. 이후 여기어때 회원들의 개인정보를 빼돌려 이를 무기로 가상화폐 비트코인 지급을 요구했다.

해킹수법은 매우 초보적인 수준이다. 보안시장에선 SQL인젝션에 대한 피해사례가 늘어나면서 관련 패치와 업데이트 등을 수차례 배포한 바 있다. 이 때문에 회원수만 400만명에 달하는 여기어때가 기본적인 보안패치마저 하지 않았다는 비판을 피하기 어려워 보인다.


심지어 심명섭 여기어때 대표는 지난해 “이용자의 예약정보가 유출될 경우 사생활 노출의 위험이 크기 때문에 업계 처음으로 e프라이버시 인증마크를 획득했다”고 강조한 바 있다.