[로팩트 손견정 기자] 경찰청 사이버수사과는 올해 3월 중국인 해커를 통해 인기 숙박앱인 ‘여기어때’ 전산망에 침입해 이용자 91만 명의 숙박예약정보를 포함 총 99만 명의 개인정보 341만 건을 유출한 뒤, 6억 원을 주지 않으면 유출된 정보를 언론사 등에 알리겠다고 협박한 피의자 일당 총 5명 중 4명(한국인3, 중국인1)을 검거해 구속하고, 해외 체류 중인 피의자는 추적하고 있다고 1일 밝혔다.
경찰에 의하면 IT업종에 종사하며 알게 된 A씨(47세)와 B씨는, 지난 해 11월경 ‘여기어때’ 이용자들의 개인정보를 해킹한 뒤 이를 이용해 돈을 뜯어내기로 공모한 후, B씨가 해킹 알선자 C씨(34세)에게 ‘여기어때’를 해킹하면 1억 원을 주겠다면서 해킹할 사람을 구해달라고 했고, C씨는 다시 D씨에게 해킹자 알선을 의뢰했다.
해킹 알선자 D씨는 중국 해커팀에 소속돼 활동 중인 중국인 해커 E씨에게 1천만원을 주기로 하고 ‘여기어때’의 해킹을 의뢰했다.
국내에서 해킹 의뢰를 받아 다수의 사이트를 해킹한 것으로 보이는 중국인 해커 E씨는 개인정보 유출 목적의 프로그램을 직접 제작해 올해 3월 6일부터 17일까지 ‘여기어때’ 홈페이지를 해킹해 이용자들의 숙박예약정보, 회원정보, 제휴점 정보 등이 의뢰인에게 자동으로 전달되도록 했다.
A씨와 B씨는 중국인 해커 E로부터 넘겨받은 ‘여기어때’ 개인정보파일을 빌미로, ‘여기어때’(주식회사 위드이노베이션) 측에 개인정보 유출사실을 통보하고, 3월 21일부터 4월 18일까지 약 1개월간 이메일(19회), 고객센터 게시판 글 게시(2회), 이용자들에게 문자메시지(4,713건) 발송, 페이스북에 유출 개인정보(5천 건)를 게시하는 등 지속적이고 다양한 방법으로 협박하면서, 최초 비트코인 3억 원에서 최종 6억 원의 현금을 요구했다.
그러나, ‘여기어때’ 측이 응하지 않아 미수에 그쳤다.
A씨와 B씨는 ‘여기어때’ 측으로부터 돈을 받지 못하게 되자 C씨에게 해킹 대가금 지급을 보류했으나, C씨는 D씨로부터의 대가금에 대한 강한 압박을 받자 D씨에게는 3천만원, 중국인 해커 E씨에게는 1천만원을 송금했다.
경찰은 개인정보 유출 직후 피해업체 협박 및 추적을 피하기 위해 해외로 출국했던 피의자들을 체포하고 관련 자료를 압수하면서 ‘여기어때’로부터 유출된 개인정보 원본파일도 모두 압수했으며, 특히 중국인 해커 E씨의 하드디스크 등에서는 본 건 개인정보 파일 외에도 다수의 인터넷 홈페이지에서 유출한 개인정보파일이 다수 발견되어 추가 수사를 검토 중이다.
경찰은 현재까지 수사상황 및 압수물 분석결과로 판단할 때 ‘여기어때’에서 유출된 개인정보가 피의자들을 통해 제3자에게 제공된 흔적이나 정황은 발견할 수 없었지만, 해외에 체류 중인 피의자 B씨가 ‘여기어때’ 개인정보파일 사본을 소지하고 있는 사실이 확인돼, B씨의 체포와 함께 개인정보 사본 파일 회수, 보이스 피싱 등 2차 피해를 차단하기 위해 다각도로 추가 수사를 진행할 예정이다.
경찰은 이번 사건 수사 결과, 홈페이지의 보안 취약점을 개인정보 유출 원인으로 지목했다. 즉, “‘여기어때’ 홈페이지는 SQL injection 공격(DB에 접근하는 페이지의 취약점을 이용한 공격)에 취약한 상태였고, 관리자 홈페이지는 Session Hijacking 공격(정당한 사용자의 권한 정보를 가로채는 공격)을 탐지·차단하는 체계가 없었다”면서, 관련기관과의 정보공유를 통해 유사사례가 재발되지 않도록 하는 한편, 개인정보를 보관하고 있는 업체에도 취약점 점검 등 개인정보 보호조치를 강화할 것을 권고할 계획이라고 밝혔다.
법률전문 인터넷신문 로팩트(LawFact) 손견정 기자 lawfact.desk@gmail.com
[로팩트 손견정 기자] 경찰청 사이버수사과는 올해 3월 중국인 해커를 통해 인기 숙박앱인 ‘여기어때’ 전산망에 침입해 이용자 91만 명의 숙박예약정보를 포함 총 99만 명의 개인정보 341만 건을 유출한 뒤, 6억 원을 주지 않으면 유출된 정보를 언론사 등에 알리겠다고 협박한 피의자 일당 총 5명 중 4명(한국인3, 중국인1)을 검거해 구속하고, 해외 체류 중인 피의자는 추적하고 있다고 1일 밝혔다.경찰에 의하면 IT업종에 종사하며 알게 된 A씨(47세)와 B씨는, 지난 해 11월경 ‘여기어때’ 이용자들의 개인정보를 해킹한 뒤 이를 이용해 돈을 뜯어내기로 공모한 후, B씨가 해킹 알선자 C씨(34세)에게 ‘여기어때’를 해킹하면 1억 원을 주겠다면서 해킹할 사람을 구해달라고 했고, C씨는 다시 D씨에게 해킹자 알선을 의뢰했다.해킹 알선자 D씨는 중국 해커팀에 소속돼 활동 중인 중국인 해커 E씨에게 1천만원을 주기로 하고 ‘여기어때’의 해킹을 의뢰했다.
국내에서 해킹 의뢰를 받아 다수의 사이트를 해킹한 것으로 보이는 중국인 해커 E씨는 개인정보 유출 목적의 프로그램을 직접 제작해 올해 3월 6일부터 17일까지 ‘여기어때’ 홈페이지를 해킹해 이용자들의 숙박예약정보, 회원정보, 제휴점 정보 등이 의뢰인에게 자동으로 전달되도록 했다.A씨와 B씨는 중국인 해커 E로부터 넘겨받은 ‘여기어때’ 개인정보파일을 빌미로, ‘여기어때’(주식회사 위드이노베이션) 측에 개인정보 유출사실을 통보하고, 3월 21일부터 4월 18일까지 약 1개월간 이메일(19회), 고객센터 게시판 글 게시(2회), 이용자들에게 문자메시지(4,713건) 발송, 페이스북에 유출 개인정보(5천 건)를 게시하는 등 지속적이고 다양한 방법으로 협박하면서, 최초 비트코인 3억 원에서 최종 6억 원의 현금을 요구했다.그러나, ‘여기어때’ 측이 응하지 않아 미수에 그쳤다.A씨와 B씨는 ‘여기어때’ 측으로부터 돈을 받지 못하게 되자 C씨에게 해킹 대가금 지급을 보류했으나, C씨는 D씨로부터의 대가금에 대한 강한 압박을 받자 D씨에게는 3천만원, 중국인 해커 E씨에게는 1천만원을 송금했다.경찰은 개인정보 유출 직후 피해업체 협박 및 추적을 피하기 위해 해외로 출국했던 피의자들을 체포하고 관련 자료를 압수하면서 ‘여기어때’로부터 유출된 개인정보 원본파일도 모두 압수했으며, 특히 중국인 해커 E씨의 하드디스크 등에서는 본 건 개인정보 파일 외에도 다수의 인터넷 홈페이지에서 유출한 개인정보파일이 다수 발견되어 추가 수사를 검토 중이다.경찰은 현재까지 수사상황 및 압수물 분석결과로 판단할 때 ‘여기어때’에서 유출된 개인정보가 피의자들을 통해 제3자에게 제공된 흔적이나 정황은 발견할 수 없었지만, 해외에 체류 중인 피의자 B씨가 ‘여기어때’ 개인정보파일 사본을 소지하고 있는 사실이 확인돼, B씨의 체포와 함께 개인정보 사본 파일 회수, 보이스 피싱 등 2차 피해를 차단하기 위해 다각도로 추가 수사를 진행할 예정이다.경찰은 이번 사건 수사 결과, 홈페이지의 보안 취약점을 개인정보 유출 원인으로 지목했다. 즉, “‘여기어때’ 홈페이지는 SQL injection 공격(DB에 접근하는 페이지의 취약점을 이용한 공격)에 취약한 상태였고, 관리자 홈페이지는 Session Hijacking 공격(정당한 사용자의 권한 정보를 가로채는 공격)을 탐지·차단하는 체계가 없었다”면서, 관련기관과의 정보공유를 통해 유사사례가 재발되지 않도록 하는 한편, 개인정보를 보관하고 있는 업체에도 취약점 점검 등 개인정보 보호조치를 강화할 것을 권고할 계획이라고 밝혔다.법률전문 인터넷신문 로팩트(LawFact) 손견정 기자 lawfact.desk@gmail.com