숙박앱 "여기어때" 해킹, 고객정보유출

1.2017.3.27

해킹을 당한 것도 있지만 화제가 된 것은,

"SQL 인젝션"이라는, 여기 저기서 평하기에는 초보수준의 해킹기술에 털렸다는데

이것은 사용하는 시스템 소프트웨어를 관리하며 보안패치를 꾸준히 해주면 되는 문제였던 데다

그것을 게을리했음에도 이 업체가 e프라이버시 보안인증을 받은 업체였다는 것.

그래서, ISMS인증과 비교되어 e프라이버시 이증은 허술한 인증 아니냐는 말까지 나옴.

위드이노베이션, 여기어때 숙박앱

http://clien.net/cs2/bbs/board.php?bo_table=news&wr_id=2333153

http://news.naver.com/main/read.nhn?mode=LSD&mid=shm&sid1=105&oid=421&aid=0002631071

http://www.hani.co.kr/arti/economy/it/787941.html

약 4천명 정도 분량이 유출된 것으로 보인다고 하며

공인기관측은 아직 수사 중인데

중국발 해킹이고

훔친 고객정보를 인질로 비트코인 결제를 요구했다고 합니다.

http://www.nocutnews.co.kr/news/4755386

다른 기사에 따르면, 국내의 다른 업체도 같은 IP를 출처로 한 해킹시도를 받았다고.

2.2017.4.5.

추가 기사입니다.

저 해킹데이터를 사용한 보이스피싱 협박 사건이 일어났습니다.

피해자가 될 뻔 한 사람은 여기어때 앱에만 남자친구 이름으로 가입했는데,

자기 전화번호로 피싱전화를 걸어 오면서 남자친구 이름으로 자기를 불러 알아챘다고 하네요.

[취재후] ‘여기 어때?’…남친 이름을 부르는 ‘그놈 목소리’

KBS 2017.04.05

그리고 피해자는 이 전화를 받기 전에도, 여기어때 숙박앱을 사용해 이용한 숙박업소와 이용 정보를 가지고 협박하는 문자가 왔다고 합니다. 

"여기어때"는 역 4천 명 분 데이터가 도난당했다고 발표한 적 있는데, 저 뉴스에는 "당국은 지금까지 총 91만 명의 회원정보와 323만 건의 숙박업소 이용 정보가 해킹당했다고 밝혔다" 라는 문장이 보이네요. 유출된 데이터가 이미 암거래 대상으로 여기 저기에 팔린 모양이라 그 앱을 사용한 사람들은 주의하라고 합니다.

3.

각종 인터넷/모바일 서비스 스타트업이 이용자데이터 보안에 허술하면 어떤 일이 생기는 지 잘 보여준 사건입니다. 무슨 인증을 받았느냐 하는 시비도 있지만 그건 법률적인 책임을 다툴 때 볼 일이고, 관련 커뮤니티에선 털리게 된 경위때문에 회사가 잘못 했다, 프로그래머 시급 얼마주고 썼냐 등등.. 그런데, 이런 사건에 대한 여론때문에 정부가 보안인증을 강화하면 또 규제라고 할까요? 아니면 다른 괜찮은 방법을 누가 제안할 수 있을까요?

정보 탈탈털린 숙박앱 '여기어때'…O2O 스타트업 보안문제 도마에

머니투데이 2017.03.26

업계 관리소홀에 '무게'…"제도 마련해야" 목소리

'먹고살기도 빠듯한데…' 딜레마에 빠진 스타트업

머니투데이 2017.04.04

스타트업계, 보안 투자보다 사업확장이 우선…가입자 300만명 '여기어때' 정보보호 전담 조직 無

• “과거 주로 대기업을 노렸던 해커들이 O2O(온·오프라인 연계) 서비스에 눈독을 들이고 있습니다. 숙박정보 등 프라이버시에 민감한 정보들이 오히려 큰 돈이 될 수 있다는 판단에서죠. 대부분 O2O업체들의 보안 투자가 부실하다는 점도 해커들의 노리는 이유입니다.” 
• O2O앱들이 다루는 정보가, 단순한 호구조사성 정보보다 민감한 개인 사생활을 더 많이 담고 있어 범죄조직이 눈독.
  
  
• 한 번의 사고로 자칫 회사 문을 닫을 수도 있다는 불안
• 사업을 궤도에 올려 성공가능성을 보는 게 먼저. 벤처투자를 받고 일정한 성과를 보인 다음에 보안에 투자하는 수순이 흔해.
• 한국인터넷진흥원(KISA)이 발표한 2016년 정보보호실태조사에 따르면 직원 수 10인 이상 50인 미만 국내 기업 중 정보보호 조직을 운영 중인 곳은 37.2%에 불과. 9인 이하는 6할이 보안에 무관심하고, 4인 이하는 담당자가 없다시피 함. 
  
  
• 10인 미만 작은 회사들에게 보안전담자를 요구하는 것은 현실적으로 무리. 중소기업 이상에게 요구하는 방식으로 보안조직이나 규제, 투자를 요구하면 스타트업을 죽이게 될 것.
  
• 주민번호, 주소, 계좌번호 등 금융거래에 활용되는 개인정보에 대해서는 법제도적 보안 요구 장치가 있음. 하지만 그 외 개인 사생활과 상관있는 이용 정보에 대해서는 보안을 요구하는 규제가 없고, 온갖 것을 망라하는 개인사생활 정보의 성격상 법령 신설은 한계가 분명함.

4.

그리고.. 

'여기어때' 개인정보 99만건 유출 확인
연합뉴스 2017/04/26 10:01
민·관 합동조사단 발표…개인정보 보호실태 일제 점검키로

중복유출을 포함하면 총 340만 건.

• 해커는 여기어때 마케팅센터 웹페이지를 'SQL 인젝션'이라는 질의조작 수법으로 공격해 데이터베이스에 저장된 관리자 세션아이디 탈취
• 관리자 세션아이디를 탈취한 다음, 외부망에 노출된 서비스관리 웹페이지에 관리자 권한으로 우회 접속, 고객 예약정보 DB와 회원정보 도둑질
• 위드이노베이션 서버는 비정상적 DB질의 검증 루틴이 없이 SQL인젝션에 취약한 상태로 홈페이지 운영