© News1

심명섭 대표 "업계첫 e프라이버시 인증" 강조…이용자 '뭇매'

(서울=뉴스1) 이수호 기자 = "여기어때는 업계 최초로 e프라이버시 인증마크를 획득했다. 보안을 강화해 기록이 남는 것을 꺼리는 이용자들에게 유용할 것이다." (심명섭 여기어때 대표)

회원수만 400만명에 달하는 숙박 O2O업체 '여기어때'가 초보적 수준의 해킹에 뚫리자 비판의 목소리가 들끓고 있다. 보안패치만 제대로 했어도 충분히 막을 수 있었다는 것이다. 심명섭 여기어때 대표가 기회 닿을 때마다 "업계 최초로 '보안 e프라이버시' 인증을 획득했다"고 자랑한 것이 무색할 지경이다.

24일 보안업계에 따르면 여기어때 해킹에 사용된 방식은 'SQL인젝션'으로 파악됐다. SQL인젝션은 해커가 주소창이나 아이디·비밀번호 입력창에 명령어를 입력하고 웹사이트에 침투, 서버에서 정보를 탈취하는 초보적 수준의 해킹방식이다.

여기어때 서버에 침입한 해커는 SQL인젝션 방식을 통해 내부 직원의 아이디와 비밀번호를 탈취하고 나아가 문자메시지 인증과정까지 해킹해 내부 운영 서버에 침투했다. 이후 여기어때 회원들의 개인정보를 빼돌려, 이를 무기로 가상화폐 비트코인 지급을 요구했다. 이는 내부직원의 정보를 미리 염탐해 내부 정보를 빼낸 '인터파크' 해킹 방식과 유사하다.

문제는 이 방식이 매우 초보적인 해킹수법이라는 점이다. 이미 보안시장에선 SQL인젝션에 대한 피해 사례가 늘어나면서 관련 패치와 업데이트 등을 이미 수차례 배포한 바 있다. 이 때문에 회원수만 400만명에 달하는 여기어때가 기본적인 보안패치마저 하지 않았다는 비판을 모면하기 어렵다는 것이 보안업계의 대체적 시각이다.

심지어 심명섭 여기어때 대표는 지난해 "이용자의 예약정보가 유출될 경우, 사생활 노출의 위험이 크기 때문에 업계 최초로 e프라이버시 인증마크를 획득했다"고 수차례 강조한 바 있다.

사실 업체들은 e프라이버시 인증마크를 잘 활용하지 않는다. 대부분은 미래창조과학부와 한국인터넷진흥원(KISA)이 인증하고 금융보안원이 발급하는 ISMS 인증제도를 이용한다. ISMS 인증은 정부가 하는 반면 e프라이버시 인증은 개인정보보호협회에서 하기 때문이다. 여기어때 경쟁사인 야놀자는 올초 ISMS 인증을 획득한 바 있다.

여기어때의 해킹은 결국 후발주자로서 핸디캡을 극복하기 위해 외형성장에만 몰두한 나머지 보안투자에 소홀히 한 결과라는 지적을 피할 수 없게 됐다. 게다가 정부와 경찰의 수사가 진행중인데 해킹당한 업체가 중국 해커를 배후로 지목한 것에 대해서도 비판의 목소리가 높다.

보안관제업체 한 관계자는 "KISA와 방통위도 수사 중인 내용을 업체가 지레짐작해 중국 해커의 소행이라고 말하는 것 자체가 실수를 덮기 위한 행위로 보인다"면서 "초보적인 해킹에 당한 만큼, 인터파크 사태처럼 수십억원에 달하는 과징금을 부과받을 수도 있을 것"이라고 말했다.

lsh5998688@

출처: 뉴스1