“우리 동네 변전소·환기구 안 된다”… GTX 부

공사 관계자들 “한밤 파쇄석 500t 운반” 스카이칠십이 “금시초문, 말도 안 된다” 인천공항공사 “사실 확인 땐 법적 조치”

한강서 윈드서핑·요트·카누 즐기세요

통계청 발표 ‘2020 고령자 통계’ 분석

산불 예방 영농부산물 파쇄 사업, 일부 시군 늑장

통계청 발표 ‘2020 고령자 통계’ 분석

광주공항 승객 “비행기 이착륙 때 창문 덮개 왜

평균 27.9년… 부처별 최대 13년 11개월차 행복도시건설청 17년 4개월로 가장 빨라 세종시 평균 17.6년… 전남은 28.3년 걸려

위드이노베이션 개인정보 침해사고 조사결과 발표

폰트 확대 폰트 축소 프린트하기
위드이노베이션(여기어때) 개인정보 유출 침해사고 조사 결과
- 홈페이지 취약점 공격으로 개인정보 유출 발생 -
미래창조과학부(이하 미래부’) 방송통신위원회(이하 방통위’) 지난 3.7()에서 3.17()까지 발생한 위드이노베이션 개인정보 유출 침해사고 관련 관합동조사단(이하 조사단)* 조사 결과 발표하였다.
 
* 미래부방통위, 한국인터넷진흥원 민간 전문가로 구성운영(3.23~)
 
o 이번 조사는 위드이노베이션 서비스 이용고객을 대상으로 4,817건의 협박성 음란문자(SMS) 발송됨에 따라 확인된 개인정보 유출 침해사고에 대한 신속한 대응과 사고 원인 분석 통한 유사 피해 재발 방지 등을 위해 실시되었다.
 
조사단은 확보한 사고 관련자료(웹서버 로그 1,560만건, 공격서버PC 5) 분석 재연을 통해 해킹의 구체적인 방법 절차,개인정보 유출규모 등을 확인하였다.
 
?? 해커는 여기어때 마케팅센터 웹페이지 SQL 인젝션* 공격 통해 DB 저장된 관리자 세션값** 탈취하였고,
* SQL(Structured Query Language) injection : 데이터베이스에 대한 질의 값(SQL 구문)을 조작하여 정상적인 자료 이외에 해커가 원하는 자료까지 데이터베이스로 부터 유출 가능한 공격기법
 
** Session ID : 웹 통신에서 접속 또는 로그인한 사용자를 구분하기 위해 서버에서 할당하는 사용자 고유 식별값
 
?? 탈취한 관리자 세션값으로 외부에 노출된 서비스 관리 웹페이지 관리자 권한으로 우회 접속하여(세션변조 공격) 예약정보, 제휴점정보 회원정보를 유출 것으로 조사되었다.
 
o 이를 통해 해커는 서비스 관리 웹페이지에서 제공하는 메뉴를 이용하여 제휴점정보(EXCEL) 예약내역(CSV) 파일로, 회원가입보는 화면회를 통해, 개인정보(중복제거) 990,584건을 유출한 것으로 조사되었다.
<개인정보 유출 상세 내역>
구분
정보 항목
건수
(중복제거)
예약
정보
숙박일수, 제휴점명, 객실명, 예약일시, 예약자, 회원번호, 휴대폰번호, 결제방법, 금액, 퇴실 가능시간
3,239,210
휴대폰 기준 (910,705)
제휴점 정보
업체명, 은행명, 계좌번호, 예금주, 휴대전화번호
1,163
업체명 기준 (1,163)
회원
정보
이메일주소, 이름 또는 닉네임, 기기정보
178,625
이메일 기준 (78,716)
합계
3,418,998
(990,584)
대폰 기준 910,705건과 이메일 기준 78,716건의 중복 여부에 대해서는 방통위에서 추가 조사
 
o 위드이노베이션 홈페이지에는 비정상적인 DB 질의에 대한 검증절차가 없어 SQL 인젝션 공격 취약한 웹페이지가 존재하였으며, 탈취된 관리자 세션값을 통한 우회접속(세션변조 공격) 탐지차단하는 체계가 없는 것으로 확인되었다.
 
조사단 위드이노베이션 침해사고 조사과정에서 발견된 문제점을 개선보완할 있도록 조사결과 개선사항 공유 보안강화 기술지원 함께 위드이노베이션 홈페이지 대상으로 취약점 점검을 실시하는 한편,
 
o 지난 인터파크 개인정보 대량 유출시 효율적으로 대응하기 위하여 방통위에서 마련한 개인정보 유출 대응 매뉴얼 따라 유출 신고 전파,유출통지, 이용자 피해방지를 위한 대책 수립 등이 이루어지도록 조치하였다.
 
아울러 미래부는 민감한 정보를 다루는200여개 O2O 서비스 기업 대해 유사 피해를 차단하고 보안성을 높이기 위하여 기업의 신청을 받아 보안취약점 점검 기술지원 4 13일부터 실시하고,
 
o 스타트업 중소기업을 대상으로 홈페이지 웹서비스 소스코드 취약점 점검, 디도스사이버대피소, 웹방화벽(캐슬) 보안도구 보급, 보안컨설팅 맞춤형 정보보안 지원을 강화 계획이다.
 
또한, 방통위는 해당 업체의 개인정보 보호조치 위반 사항 해서는 정보통신망 이용촉진 정보보호 등에 관한 법률 따라 과징금 부과 행정처분 예정이며, 조속한 시일 내에 관련 계를 대상으로 개인정보보호를 위한 교육 기술적·관리적 보호조치 준수 여부에 대한 일제 점검 추진할 계획이다.
 
관합동조사단 단장(미래부 송정수 정보보호정책관) 정보보호 투자는 기업의 연속성 확보를 위한 선택이 아닌 필수사항으로 기업 스스로 정보보호 투자 확대와 인식제고 노력이 필요하다라고 강조하고, 정부도 스타트업 중소기업을 대상으로 기본적인 정보보호 체계를 갖출 있도록 지원을 확대해 나가겠다 밝혔다.


* 자세한 내용은 붙임을 참고하시기 바랍니다.
 
페이스북 트위터 밴드 블로그

자료 제공 : 정책브리핑 korea.kr

자료 제공 : 정책브리핑 korea.kr