개인정보보호, 소프트웨어 정책
‘SQL인젝션’에 뚤린 여기어때
회원수만 400만명에 달하는 숙박 O2O업체 ‘여기어때’가 초보적 수준의 해킹에 뚫리자 비판의 목소리가 들끓고 있다. 보안패치만 제대로 했어도 충분히 막을 수 있었다는 것이다. 심명섭 여기어때 대표가 기회 닿을 때마다 “업계 최초로 ‘보안 e프라이버시’ 인증을 획득했다”고 자랑한 것이 무색할 지경이다.
여기어때 해킹에 사용된 방식은 ‘SQL인젝션’으로 파악됐다. SQL인젝션은 해커가 주소창이나 아이디·비밀번호 입력창에 명령어를 입력하고 웹사이트에 침투, 서버에서 정보를 탈취하는 초보적 수준의 해킹방식이다.
2017.04.26 ‘여기 어때’ 해킹·개요도<자료=방통위,미래부>
여기어때 서버에 침입한 해커는 SQL인젝션 방식을 통해 내부 직원의 아이디와 비밀번호를 탈취하고 나아가 문자메시지 인증과정까지 해킹해 내부 운영 서버에 침투했다. 이후 여기어때 회원들의 개인정보를 빼돌려, 이를 무기로 가상화폐 비트코인 지급을 요구했다.
2017.06.01 ‘여기 어때’ 해킹·공갈미수 사건 개요도<자료=경찰청>
아직도 SQL인젝션으로 해킹을 당하는곳이 있다는 현실을 보면 우리의 보안 수준은 IT선진국이 아니라 후진국이 맞는것 같습니다.
현실은 이런데 정부는 개인정보 비식별화를 통하여 국민의 개인정보를 기업의 수익 수단으로 허용하려는 것을 보면 국민의 개인정보를 보호의 대상이 아니라 산업의 발전을 위해서라면 상품화가 되어도 된다는것 같습니다.
만일 개인정보가 어떤 형식으로든 상품화가 되면 국민의 사생활보호 수준은 지금보다 현저히 떨어질것이며, 그로인하여 얻은 수익은 대기업의 곳간으로 들어 갈것이 자명하다.