Home > 전체기사
다크웹에 개인정보 올라온 플레이윙즈, 해킹 당한 사실 뒤늦게 공지
  |  입력 : 2020-06-30 13:30
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
이메일, 암호화된 비밀번호, 닉네임 등 고객정보 유출...<보안뉴스> 보도 이후 공지
보안전문가 “Salt 없는 단순 MD5 암호화... 해시값 사전 통해 크랙되어 패스워드 알 수 있어”


[보안뉴스 원병철 기자] 항공권 특가 알림 앱으로 알려진 여행 플랫폼 ‘플레이윙즈’가 고객 개인정보 유출을 당했다고 공지했다. 플레이윙즈는 지난 4월 16일 허가받지 않은 외부 접속자가 서버접속 키를 탈취한 후 DB에 접속해 고객정보를 탈취했다고 밝혔다. 이렇게 탈취된 고객정보는 <보안뉴스>가 29일 보도한 것처럼 다크웹에서 거래되고 있었다.

▲플레이윙즈 공지사항[캡처=보안뉴스]


플레이윙즈는 공지사항을 통해 2020년 4월 16일경 허가받지 않은 외부 접속자가 당사의 서버 접속 key를 탈취해 일부 회원 정보에 비정상적인 방식으로 접근했으며, 플레이윙즈 데이터베이스에 적재된 회원의 개인정보를 탈취한 것을 6월 29일 확인했다고 밝혔다.

유출된 개인정보 항목은 이메일 주소로 가입한 회원(SNS 가입 유저 제외)의 △이메일 △암호화된 비밀번호 △닉네임 등 3개 항목이며, 플레이윙즈는 개인정보 최소 수집 원칙에 따라 SNS 로그인을 병행 이용하고 있어 회원의 성명, 주민등록번호, 카드번호 등 금융정보는 원칙적으로 보관(수집)하지 않고 있다고 설명했다. 또한, SNS로 가입한 유저는 어떠한 정보도 유출되지 않았다고 설명했다.

이번 사건과 관련해 플레이윙즈는 지난 4월 22일 서버접속 Key를 변경해 취약점 제거를 완료했다고 밝혔다. 다만 서버접속 Key를 변경한 4월 22일에는 별도의 외부 유출 정황을 추가로 검토하지 못해 개인정보 유출에 대한 인지가 늦어졌다고 사과했다. 아울러 2020년 7월 런칭이 예정된 플레이윙즈 리뉴얼 서비스에서는 보안이 보다 강화된 User DB를 사용할 예정이며, 추가적으로 이메일 아이디 양방향 암호화를 진행할 방침이라고 덧붙였다.

또한, 고객 개인을 특정할 수 있는 민감 정보는 포함되지 않았지만, 유출된 정보를 통해 해커가 피싱 메일 등을 발송할 수 있으므로 출처가 불분명한 이메일 수신 시 주의를 기울여 달라고 밝혔다. 이와 함께 혹시 모를 피해 추가 피해를 최소화하기 위해 비밀번호를 변경해 달라고 당부했다.

한편, 본지가 보도한 것처럼 플레이윙즈에서 유출된 고객정보는 이미 다크웹에 공개됐다. 이와 관련 한 보안전문가는 “유출된 사용자 패스워드 중 과거에 사용했던 일부 패스워드는 Salt 없는 단순 MD5로 암호화했기 때문에 레인보우 테이블 등 해시값 사전을 통해 크랙되어 패스워드를 쉽게 알 수 있다”고 지적했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 잇따른 기밀 유출 사건으로 인해 종이유출차단방지(출력물) 보안 솔루션의 도입 필요성이 높아지고 있는데요. 해당 솔루션 도입을 위한 비용은 어느 정도가 적정하다고 보시나요?
2천만원 이하
5천만원 이하
1억원 이하
1~2억원 이내
2억원 이상