반응형
이번 조사는 위드이노베이션 서비스 이용 고객을 대상으로 총 4817건의 ‘협박성 음란 문자(SMS)’가 발송됨에 따라 확인된 개인정보 유출 침해 사고에 대한 신속한 대응과 사고 원인 분석을 통한 유사 피해 재발 방지 등을 위해 실시됐다.
조사단은 확보한 사고 관련 자료(웹서버 로그 1560만건, 공격 서버·PC 5대) 분석 및 재연을 통해 해킹의 구체적인 방법 및 절차, 개인정보 유출 규모 등을 확인했다.
해커는 ‘여기어때 마케팅센터 웹페이지’에 SQL 인젝션 공격(데이터베이스에 대한 질의값(SQL 구문)을 조작해 정상적인 자료 이외에 해커가 원하는 자료까지 데이터베이스로부터 유출 가능한 공격 기법)을 통해 DB에 저장된 관리자 세션값(웹 통신에서 접속 또는 로그인한 사용자를 구분하기 위해 서버에서 할당하는 사용자 고유 식별값)을 탈취했다. 또 탈취한 관리자 세션값으로 외부에 노출된 ‘서비스 관리 웹페이지’를 관리자 권한으로 우회 접속하고(세션 변조 공격), 예약정보·제휴점정보 및 회원정보를 유출한 것으로 조사됐다.
(후략)
[박미영 기자(mypark@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
반응형
'[ ★ ]Study > News' 카테고리의 다른 글
| [단독] “Are you Happy?” 3.20·한수원 사태 北 해커들, 연합작전 개시 (0) | 2017.04.30 |
|---|---|
| 페이스북 ‘좋아요’와 스팸 댓글 바꾸실래요? (0) | 2017.04.28 |
| 드디어 나온 2017년판 OWASP TOP 10, 어떤 보안위협 담겼나 (0) | 2017.04.27 |
| 좋은 드론, 나쁜 드론, 이상한 드론 (0) | 2017.04.26 |
| 손전등 앱 잘못 다운받았다간 개인정보 유출된다고요? (0) | 2017.04.25 |
댓글