[비즈한국] 해킹에 의해 기업이 보유한 회원 개인정보가 유출되는 사건은 이제 별로 새삼스럽지도 않다. 하도 많아서 무감각하다는 사람도 적잖다. 하지만 숙박업소 O2O(Online to Offline) 서비스 ‘여기어때’ 해킹 사건은 지금까지와는 다른 충격을 안겼다. 신용카드 같은 금융 정보보다 민감한 민감한 숙박 정보가 포함됐기 때문이다.
해커 일당은 이러한 숙박 정보를 바탕으로 약 4000명에게 ‘X월 X일 XX모텔에서 XX 즐거우셨나요?’라는 낯 뜨거운 문자를 보냈다. 당장 여기어때에 항의가 빗발쳤다. 해킹 수법이 초보적이고 고전적이라는 분석이 나오면서 보안 수준에 대한 지적이 이어졌다. KBS는 유출된 개인 정보가 보이스피싱에 사용된 것으로 의심된다고 추가 보도했다. 회사 측은 사과와 함께 보안을 더욱 강화하고, 조사가 마무리되는 대로 피해보상 방안을 마련할 계획이라고 밝혔다.
지난 3월 24일 불거진 여기어때 해킹 사건의 흐름은 대략 이 정도다. 그런데 이 과정에서 여느 기업 해킹 사건과는 다른 부자연스러운 점이 눈에 거슬린다. 이 사건을 둘러싼 미스터리를 파헤쳤다.
# 해커는 정말 비트코인을 원했나
해커가 기업을 공격하는 데는 몇 가지 목적이 있다. 반감을 가진 기업에 대한 항의성 표시거나, 금전을 요구하거나, 혹은 빼돌린 정보로 다른 이득을 취하기 위해서다. 여기어때 해킹 사건의 경우 해커들이 수억 원대의 비트코인을 요구한 것으로 전해졌는데, ‘비즈한국’ 취재 결과 약 10억 원 전후인 것으로 확인됐다.
우선 업계에서는 해커들이 요구한 비트코인의 액수가 너무 적다고 지적한다. 이번 사건에서 유출된 개인 정보는 약 91만 건. 게다가 회사의 존립을 흔들 수도 있는 숙박 정보가 포함됐다는 점에서 그 가치는 일반 개인정보와는 다르다. 여기어때를 서비스하는 위드이노베이션의 지난해 200억 원 규모의 투자를 받았고, 누적 매출만 1000억 원이 넘는 업계 1위 기업이다. 해커들이 요구한 ‘몸값’ 정도는 얼마든지 낼 수 있었다.
하지만 위드이노베이션은 비트코인을 지불하지 않았다. 가장 큰 이유는 협상을 검토하기도 전에 이미 4000여 건의 문자가 발송됐기 때문이다. 물론 이러한 행동은 해커들의 협상용 위협으로 볼 수도 있다. 하지만 이로 인해 해킹 소식이 세간에 알려진 상황에서 회사는 몸값을 지불할 이유가 전혀 없었다. 처음부터 해커가 비트코인을 노리고 범죄를 저질렀는지가 의심되는 대목이다.
# 보이스피싱은 단 한 건에 불과?
3월 24일 해킹 소식이 전해지고 난 이후 약 열흘이 지난 다음 KBS는 여기어때에서 유출된 개인정보를 사용해 보이스피싱 범죄가 발생했다고 보도했다. 보이스피싱 일당이 피해자 남자친구의 이름을 댔는데, 자신의 전화번호로 남자친구 이름으로 가입한 곳이 여기어때 밖에 없다는 것이 주요 근거다.
이를 보면 해커들의 목적이 개인정보를 빼돌려 보이스피싱 일당에게 팔아넘기기 위한 것으로 볼 수도 있다. 하지만 이상한 점은 아직까지 이 보도 이외에 보이스피싱을 당했다는 사례가 보고되지 않고 있다. 여기어때 측도 “그 고객 이외에 다른 보이스피싱 관련 항의나 피해 문의는 없었다”고 밝혔다.
보이스피싱 수법도 다소 의아하다. 해커들이 취득한 숙박 정보를 활용해 불륜 폭로 협박이 아닌, 고전적인 검찰청 사칭 수법을 썼다. 당초 여기어때 해킹 사건이 주목받은 이유도 지난해부터 불륜 폭로 보이스피싱이 기승을 부렸기 때문이다. 이에 대해 많은 언론들이 2차 피해가 우려된다고 보도하기도 했다. 그런 점에서 보이스피싱에 활용된 개인정보가 과연 여기어때에서 유출된 정보인지도 아직은 확실치 않아 보인다.
# 의문의 제보자, 목적은?
여기어때 해킹 사건 최초 보도 이후 주요 보안 전문 기자들에게 익명의 제보 메일이 여러 차례 전달된 것으로 확인됐다. 핫메일 계정으로 전달된 이 메일은 여기어때 해킹 사건과 관련 기사에 대한 링크와 함께 기사 작성에 참고해 달라는 내용을 담고 있다.
이 메일을 받은 보안 전문 기자들은 새로운 내용이나 추가 제보가 아니어서 그냥 참고만 했다고 밝혔다. 한 기자는 “마치 제보자가 여기어때 해킹 사건과 관련된 내용을 계속 확산시키고 싶어 하는 것 같은 인상을 받았다”며 “이번 해킹으로 피해를 입고 불만이 생겨 제보를 하는 것 같아 보이지는 않았다”고 말했다.
발송 이메일 주소는 아무런 뜻도 없는 영문과 숫자의 조합으로 만들어졌다. 이를 구글링 한 결과 한 트위터 계정이 발견됐는데, 계정명이 ‘Hacker’인 점이 눈길을 끌었다. 물론 이것이 제보자가 해커 당사자이거나 그와 관련이 있다는 증거는 전혀 되지 못한다. 단순 우연의 일치일 가능성이 더 높다.
비슷한 시점에 관련 업계와 기자들 사이에 여기어때 해킹 사건의 내막을 다룬 사설 정보지가 돌기도 했다. 대부분 사실과 관계없이 여기어때에 대한 부정적인 내용을 담고 있어 여론은 더욱 악화됐다.
# 정부, O2O 보안점검 나서
여러 의혹에도 불구하고 여기어때 해킹 사건은 1차적으로 공격을 받은 여기어때의 허술한 보안이 문제라는 여론이 우세하다. 해킹 수법 자체도 초보적이고 오랜 수법이어서 충분히 사전에 방어가 가능했다는 것이다.
현재 여기어때 해킹사건은 회사 측의 신고로 서울지방검찰청 사이버수사과가 조사 중이다. 해킹 사건 특성상 범인을 대략적으로 특정할 수는 있어도, 검거까지는 쉽지 않다는 것이 보안업계 안팎 분위기다.
여기어때 해킹 사건을 시작으로 O2O 업계가 보안을 더욱 강화해야 한다는 목소리도 높다. 미래창조과학부는 숙박, 교통, 쇼핑, 예매, 결제, 배달, 의료, 부동산 등 70여 O2O 서비스에 대한 보안 실태 점검에 나설 계획이라고 12일 밝혔다.
또, 여기 어때 해킹 사건과 관련 방송통신위원회, 한국인터넷진흥원(KISA) 등과 민관합동조사단을 구성하고 사고 원인 등을 조사·분석 중에 있으며, 그 결과를 이 달 공개할 계획이라고 덧붙였다.
봉성창 기자
bong@bizhankook.com[핫클릭]
·
여름 강자 ‘설빙’ ‘쥬씨’ 지난 겨울 뭐 먹고 살아쓰까
·
[그때그공시] 금호석유 압수수색, 박찬구 회장 ‘덫’에 걸리다
·
[포토] 영장실질심사 우병우 ‘눈빛’은 어디가고 흰머리만…
·
성매매 방조 vs 개인정보 유출…야놀자-여기어때, 진흙탕 싸움 내막
·
스마트폰 시대, 모텔에 관한 흥미로운 사실 5