개인정보 유출 '여기어때', 해커 일당 검거

[이데일리 이유미 기자] 지난 3월 개인정보가 유출된 ‘여기어때’를 해킹한 해커 일당이 잡혔다.

경찰청 사이버수사과는 1일 여기어때 해킹 및 공갈 피의자 일당을 검거했다고 밝혔다. 이들은 유출된 개인정보를 빌미로 6억원 갈취를 시도한 것으로 드러났다.

해커 일당들은 지난 3월6일부터 17일까지 중국인 해커를 통해 여기어때 전산망에 침입해 이용자 91만명의 숙박예약정보를 포함해 총 99만명의 개인정보 341만건을 유출했다. 이어 여기어때 측에 6억원을 주지 않으면 유출된 정보를 언론사 등에 알리겠다고 협박을 했다.

경찰청은 피의자 일당 총 5명 중 4명을 검거하고 해외 체류 중인 피의자를 추적하고 있다. 검거된 피의자 중 한국인은 3명, 중국인은 1명이다.

IT업종에 종사하며 알게된 피의자 A와 B(미검거)는 지난해 11월 여기어때 이용자들의 개인정보를 해킹한 뒤 이를 이용해 돈을 뜯어내기로 공모했다. B는 피의자 C에게 여기어때를 해킹하면 1억원을 주겠다며 해킹할 사람을 구해달라고 했고, C가 또다른 피의자 D에게 이를 전달, D가 중국인 해커 E에게 1000만원을 주겠다고 하며 해킹을 의뢰했다.

중국인 해커 E는 지난 3월 여기어때 홈페이지를 해킹해 이용자들의 숙박예약정보, 회원정보, 제휴점 정보를 유출했다.

A와 B는 넘겨받은 여기어때 개인정보 파일을 빌미로 여기어때 측에 비트코인 3억~6억원의 현금을 요구하며 협박했으나 여기어때 측은 응하지 않아 미수에 그쳤다.

경찰청은 피의자들을 체포하고 관련 자료를 압수해 여기어때로부터 유출된 개인정보 원본파일을 모두 압수했다. 특히 중국인 해커 E의 하드디스크 등에서는 여기어때의 개인정보 파일 외에도 다수이 인터넷 홈페이지에서 유출한 개인정보파일이 다수 발견돼 추가 수사를 검토 중이다.

경찰청 측은 “현재까지 수사상황과 압수물 분석결과 여기어때에서 유출된 개인정보가 피의자들을 통해 제3자에게 제공된 흔적이나 정황은 발견할 수 없었다”면서 “다만 해외 체류 중인 피의자 B가 여기어때 개인정보파일 사본을 소지하고 있는 사실이 확인돼 B의 체포와 함께 사본 파일을 확보하기 위해 다각도로 추진 중”이라고 말했다.

해킹 당시 여기어때 홈페이지는 SQL 인젝션 공격에 취약한 상태였으며 관리자 홈페이지에는 세션 하이제킹(Session Hijacking) 공격을 탐지 및 차단하는 체계가 없었던 것으로 드러났다.

해커 일당은 여기어때를 한달간 지속적이고 다양한 다양한 방법으로 협박을 했으며 개인정보 유출 직후 추적을 피하기 위해 해외로 출국했다.

경찰청은 “해외에 체류 중인 B의 조속한 체포와 개인정보 파일 회수 및 보이스 피싱 등 2차 피해를 차단하기 위해 추가 수사를 계속 진행할 예정”이라며 “관련기관과의 정보공유를 통해 유사사례가 재발되지 않도록 하는 한편, 개인정보를 보관하고 있는 업체에도 취약점 점검 등 개인정보 보호조치를 강화할 것을 권고했다”고 말했다.

□용어설명

-SQL 인젝션: DB에 접근하는 페이지의 취약점을 이용한 공격

-세션 하이제킹 : 정당한 사용자의 권한 정보를 가로채는 공격