​[단독] 개인정보 털린 '배달통' 웹쉘에 당했다

초보 해킹에 뚫린 배달 앱 … 웹쉘 초보적인 해킹 공격 방법

배달앱의 개인정보 유출 수준이 심각, 사회적 문제로 떠오르고 있다 [일러스트=김효곤 기자 hyogoncap@]

아주경제 장윤정 기자 = 지난해 말 개인정보 유출사고로 경찰 조사를 받고 있는 배달 어플리케이션(앱) '배달통'의 해킹 원인이 '웹쉘'이라는 가장 초보적인 해킹 툴에 당한 것으로 드러났다. 

웹쉘은 해커들이 웹 서버를 공격할 때 가장 흔하게 사용하는 공격 도구로 가장 낮은 수준의 해킹 방법이다. 개인정보보호와 정보보안에 적극 나서야할 IT서비스 업체가 집안 대문을 열어놓고 도둑을 맞은 셈이다. 

모바일 앱시장이 커지고 있는 가운데 상당수 다른 업체들도 초보적인 해킹에 당할 가능성이 있을 것으로 보여 앱 서비스 업체들의 보안 불감증 논란이 가열될 전망이다.

8일 본지가 보안전문가들과 조사한 결과, 배달통의 해킹은 웹쉘 공격 수법이 사용된 것으로 확인됐다.

웹쉘은 공격자가 원격으로 웹 서버에 명령을 할 수 있도록 만들어진 해킹 툴이다. 이를 이용하면 서버 내의 거의 모든 자료를 들여다볼 수 있으며 웹 페이지 변환, 악성코드 업로드 등 사이트에 대한 모든 위·변조가 가능하다.

박춘식 한국정보보호학회 회장은 "웹쉘은 비교적 널리 알려진 수법으로 교묘하거나 복잡한 공격이 아니다"며 "이같은 공격에 당했다는 것은 보안 관리자가 정책을 세우고 관리·감독하는데 있어 매우 소흘했다는 증거"라고 지적했다. 

상황이 이런데도 당사자인 배달통과 사건을 조사중인 경찰은 정확한 원인을 파악하지 못하고 있다.

특히 이번 해킹 사고에서 서버에 로그 기록이 남아있지 않아 어떤 데이터가 얼마나 털렸는지 정확히 알 수 없어 후속 피해가 우려되는 상황이다. 로그는 컴퓨터, 서버 등에서 데이터가 오간 정보를 시간에 따라 남기는 기록으로 항공기의 블랙박스로 보면 된다. 고객 개인정보 뿐만 아니라 회사 내부 주요 데이터의 탈취 여부도 의심되는 대목이다.

최근 배달통은 해킹 사고 후 고객 정보보호 강화차원에서 웹 방화벽을 도입했다. 하지만 웹 방화벽은 80만여명의 회원수에 달하는 배달통이라면 우선적으로 깔고 가야하는 보안시스템이라는 것이 전문가들의 견해다.

웹 방화벽 전문업체 김진수 트리니티소프트 대표는 "웹 방화벽은 보안장비가 아니라 IT인프라의 기본 장비"라며 "웹 방화벽만 설치했더라도 웹쉘 공격 정도는 탐지 및 방어가 가능했을 것"이라고 밝혔다.

이에 대해 배달통은 주민등록번호, 신용카드정보 등 민감한 정보를 수집, 저장하지 않기 때문에 고객피해가 크게 예상되지 않는다는 입장이다. 

하지만 이번 해킹사고에서 유출된 회원의 이름, 이메일 주소와 생년월일, 휴대전화 번호 등 만으로도 충분히 스팸이나 보이스피싱 등 2차 피해가 가능하다. 

권석철 큐브피아 대표는 "앱 서비스 업체들의 보안불감증이 상당히 심각한 수준"이라며 "전수조사 등을 통해 보완 대책을 마련해야 할 것"이라고 강조했다.