여행 웹진
트래블맵에서 알려드리는 여행정보
방송통신위원회, 여기어때 SQL 인젝션 공격으로 개인정보 99만건 유출
2017.4.26 (수)
[트래블맵] 방송통신위원회, 여기어때 SQL 인젝션 공격으로 개인정보 99만건 유출
![[트래블맵] 방송통신위원회, 여기어때 SQL 인젝션 공격 해킹으로 개인정보 99만건 유출](//www.travelmap.co.kr/contents/wp-content/uploads/-sql-99-.png)
방송통신위원회와 미래창조과학부는 지난 3월 여기어때(위드이노베이션) 개인정보 유출 침해사고 관련 민․관합동조사단’의 조사 결과를 발표하였다.
이번 조사는 여기어때(위드이노베이션) 서비스 이용고객을 대상으로 총 4,817건의 협박성 음란문자가 발송됨에 따라 확인된 개인정보 유출 침해사고에 대한 신속한 대응과 사고 원인 분석을 통한 유사 피해 재발 방지 등을 위해 실시되었다.
조사단은 확보한 사고 관련자료(웹서버 로그 1,560만건, 공격서버ㆍPC 5대) 분석 및 재연을 통해 해킹의 구체적인 방법 및 절차, 개인정보 유출규모 등을 확인하였다.
이를 통해 해커는 서비스 관리 웹페이지에서 제공하는 메뉴를 이용하여 제휴점정보 및 예약내역은 파일로, 회원가입정보는 화면조회를 통해, 개인정보 총 990,584건을 유출한 것으로 조사되었다.
위드이노베이션 홈페이지에는 비정상적인 DB 질의에 대한 검증절차가 없어 SQL 인젝션 공격에 취약한 웹페이지가 존재하였으며, 탈취된 관리자 세션값을 통한 우회접속을 탐지ㆍ차단하는 체계가 없는 것으로 확인되었다.
조사단은 여기어때(위드이노베이션) 침해사고 조사과정에서 발견된 문제점을 개선ㆍ보완할 수 있도록 조사결과 및 개선사항 공유 등 보안강화 기술지원과 함께 여기어때(위드이노베이션) 취약점 점검을 실시하는 한편, 아울러 미래부는 민감한 정보를 다루는 200여개 O2O 서비스 기업에 대해 유사 피해를 차단하고 보안성을 높이기 위하여 기업의 신청을 받아 보안취약점 점검 및 기술지원을 4월 13일부터 실시하였다.
또한, 방통위는 해당 업체의 개인정보 보호조치 위반 사항에 대해서는 정보통신망 이용촉진 및 정보보호 등에 관한 법률에 따라 과징금 부과 등 행정처분할 예정이며, 조속한 시일 내에 관련 업계를 대상으로 개인정보보호를 위한 교육 및 기술적·관리적 보호조치 준수 여부에 대한 일제 점검을 추진할 계획이다.
민‧관합동조사단 단장은 “정보보호 투자는 기업의 연속성 확보를 위한 선택이 아닌 필수사항으로 기업 스스로 정보보호 투자 확대와 인식제고 노력이 필요하다.”라고 강조하고, “정부도 스타트업 등 중소기업을 대상으로 기본적인 정보보호 체계를 갖출 수 있도록 지원을 확대해 나가겠다”고 밝혔다.
출처 : 방송통신위원회, 위드이노베이션
![[트래블맵] 방송통신위원회, 여기어때 SQL 인젝션 공격 해킹으로 개인정보 99만건 유출](http://www.travelmap.co.kr/contents/wp-content/uploads/-sql-99-.png)
방송통신위원회와 미래창조과학부는 지난 3월 여기어때(위드이노베이션) 개인정보 유출 침해사고 관련 민․관합동조사단’의 조사 결과를 발표하였다.
이번 조사는 여기어때(위드이노베이션) 서비스 이용고객을 대상으로 총 4,817건의 협박성 음란문자가 발송됨에 따라 확인된 개인정보 유출 침해사고에 대한 신속한 대응과 사고 원인 분석을 통한 유사 피해 재발 방지 등을 위해 실시되었다.
조사단은 확보한 사고 관련자료(웹서버 로그 1,560만건, 공격서버ㆍPC 5대) 분석 및 재연을 통해 해킹의 구체적인 방법 및 절차, 개인정보 유출규모 등을 확인하였다.
이를 통해 해커는 서비스 관리 웹페이지에서 제공하는 메뉴를 이용하여 제휴점정보 및 예약내역은 파일로, 회원가입정보는 화면조회를 통해, 개인정보 총 990,584건을 유출한 것으로 조사되었다.
위드이노베이션 홈페이지에는 비정상적인 DB 질의에 대한 검증절차가 없어 SQL 인젝션 공격에 취약한 웹페이지가 존재하였으며, 탈취된 관리자 세션값을 통한 우회접속을 탐지ㆍ차단하는 체계가 없는 것으로 확인되었다.
조사단은 여기어때(위드이노베이션) 침해사고 조사과정에서 발견된 문제점을 개선ㆍ보완할 수 있도록 조사결과 및 개선사항 공유 등 보안강화 기술지원과 함께 여기어때(위드이노베이션) 취약점 점검을 실시하는 한편, 아울러 미래부는 민감한 정보를 다루는 200여개 O2O 서비스 기업에 대해 유사 피해를 차단하고 보안성을 높이기 위하여 기업의 신청을 받아 보안취약점 점검 및 기술지원을 4월 13일부터 실시하였다.
또한, 방통위는 해당 업체의 개인정보 보호조치 위반 사항에 대해서는 정보통신망 이용촉진 및 정보보호 등에 관한 법률에 따라 과징금 부과 등 행정처분할 예정이며, 조속한 시일 내에 관련 업계를 대상으로 개인정보보호를 위한 교육 및 기술적·관리적 보호조치 준수 여부에 대한 일제 점검을 추진할 계획이다.
민‧관합동조사단 단장은 “정보보호 투자는 기업의 연속성 확보를 위한 선택이 아닌 필수사항으로 기업 스스로 정보보호 투자 확대와 인식제고 노력이 필요하다.”라고 강조하고, “정부도 스타트업 등 중소기업을 대상으로 기본적인 정보보호 체계를 갖출 수 있도록 지원을 확대해 나가겠다”고 밝혔다.
출처 : 방송통신위원회, 위드이노베이션
