‘여기어때’ 개인정보유출 99만건…소송 이어질까

방통위·미래부·민간 합동조사 결과
홈페이지 취약점 공격해 예약정보 등 빼내
용의자는 경찰 수사 중…“북한으로 특정하기 어려워”
징벌적 손해배상·법정손해배상 적용될지 주목

지난달 숙박예약 앱인 ‘여기어때’에서 발생한 개인정보 유출 사고에서 모두 99만건이 해킹을 통해 유출된 것으로 정부 조사에 의해 확인됐다. 미래창조과학부, 방송통신위원회, 민간전문가 등으로 구성된 민·관 합동조사단은 26일 “지난달 7~17일 발생한 위드이노베이션(여기어때 제공 업체)의 개인정보 유출 침해 사고를 조사한 결과, 중복을 제거하면 총 99만584건, 중복을 포함하면 총 340여만건의 개인정보가 유출됐음을 확인했다”고 밝혔다.

예약날짜·숙박일수·예약자·결제방법 등 예약정보가 91만여건(휴대폰 기준), 업체명·계좌번호 등 제휴업소 정보가 1163건(업체명 기준), 이메일·이름 등 회원정보(이메일 기준)가 7만8716건 유출됐다. 이번 사고는 지난달 여기어때 서비스 이용고객을 대상으로 4817건의 협박성 음란문자(SMS)가 발송되면서 알려졌다. 조사단 관계자는 “해킹 용의자는 경찰에서 수사 중”이라며 “공격자의 아이피(IP) 주소는 중국과 국내를 모두 경유한 것으로 확인됐지만, 용의자를 특정할만한 근거나 정황은 발견되지 않았다. 북한이라고 특정하기도 어렵다”고 말했다. 조사단은 “해커는 여기어때 마케팅센터 웹페이지를 ‘SQL 인젝션’이라는 수법으로 공격해 데이터베이스에 저장된 관리자 세션아이디를 탈취했고, 탈취한 관리자 세션아이디를 이용해 외부에 노출된 ‘서비스 관리 웹페이지’에 관리자 권한으로 우회 접속한 뒤 예약정보, 회원정보, 제휴업소 정보 등을 빼간 것으로 조사됐다”고 설명했다. SQL 인젝션은 데이터베이스에 대한 질의를 조작해 정상적 자료 이외에 해커가 원하는 데이터를 뽑아내는 공격 기법이다. 조사단은 “위드이노베이션 홈페이지에는 비정상적인 데이터베이스 질의에 대한 검증절차가 없어 SQL 인젝션 공격에 취약한 웹페이지가 존재했고, 세션 변조 공격을 탐지·차단하는 체계도 없는 것으로 확인됐다”고 말했다. 방통위는 위드이노베이션의 개인정보 보호조치 위반 사항에 대해 과징금 부과 등 행정처분을 할 예정이다.

정부의 공식 조사 결과가 발표됨에 따라 피해자들의 법적 대응도 시작될 가능성이 있다. 특히 이번 정보 유출은 개인의 민감하고 구체적인 정보가 유출된 경우라, 소송이 제기될 경우 징벌적 손해배상제와 법정손해배상제가 적용될지 주목된다. 징벌적 손해배상제도는 개인정보를 고의나 중대한 과실로 인하여 유출시킨 사업자에게는 실제 손해액의 최대 3배까지 배상하도록 하는 제도로 지난해 7월부터 시행됐다. 법정손해배상제는 피해자가 손해액 입증을 하지 않아도 법원으로부터 300만원까지 배상 판결을 받을 수 있는 제도로 2014년11월부터 시행됐다. 이전에는 개인정보 유출 피해자가 직접 피해액을 입증해야 배상판결을 받을 수 있었다. 두 제도 모두 아직 법원에서 적용된 사례는 없다.

안선희 기자 shan@hani.co.kr