'고객정보유출' 여기어때, 91만명 정보침해 확인...향후 대책은

[OSEN=이인환 기자] 여기어때가 최근 발생한 고객 정보침해 사건과 관련해 사과와 향후 방지책을 약속했다.

국내 대표 숙박 O2O 여기어때는 지난 23일 초보적인 해킹 수법으로 고객 정보가 대량 유출된 것으로 알려지면서 이용자들을 경악케 했다. 관계부처와 여기어때의 운영사 위드이노베이션이 파악한 바에 따르면 고객 91만명의 이용자명, 휴대전화번호, 숙박 이용정보 323만건이 해커에 의해 침해된 것으로 확인됐다고 30일 밝혔다.

위드이노베이션은 방송통신위원회한국인터넷진흥원(KISA)경찰청 등과 공조해 지난 일주일간 피해 규모 등을 집중 조사한 결과 해커가 사용자에게 문자메시지를 전송한 수는 지난 3월 23일까지 총 4,000여 건이며 이후 추가 피해는 접수되지 않았다고 전했다.

위드이노베이션은 문제점이 발견된 시스템 내 취약점을 전문 보안컨설팅 업체와 진단, 즉각 조치하고 데이터베이스(DB)와 네트워크 보안을 강화하는 등 추가 피해를 막기 위해 사고대응TF를 가동 하겠다고 약속했다.

심명섭 위드이노베이션 대표는 “사용자 신뢰가 근본인 숙박O2O 서비스에서 이러한 문제가 발생한 점에 대해 진심으로 사죄 드린다. 회사의 모든 자원을 투입해 시스템 보완 및 강력한 보안 인프라를 구축하겠다. 향후 유사사례가 발생하지 않도록 만전을 기할 것”이라고 말했다.

또한 “현재까지 해커들이 고객들에게 전송한 문자메시지의 내용, 구체적 경위 등 정부 합동 조사 결과를 기다리고 있다. 향후 확인되는 고객들의 피해규모 및 유형 등을 분석해 적법한 절차에 따라 신속하게 피해를 보상하기 위한 방안을 마련 중”이라고 덧붙였다.

아울러 위드이노베이션은 유사사건 방지 및 고객정보 보호를 위해 5대 보안강화 대책 도입을 다짐했다. 여기어때는 앞으로 회원정보와 숙박 예약정보(숙박업소, 일시 등) DB를 완전 분리하고 예약 시 고객이 직접 입력하는 정보(실명, 전화번호)도 닉네임과 가상번호로 대체한다. 휴대폰번호 등 연락처를 일절 사용하지 않겠다는 방침이다.

여기어때는 정보보호 전문가를 영입해 전담팀을 구성하고 IT인프라 보안강화를 위해 정보보호 아키텍쳐 및 운영체계를 대형 인터넷 기업 수준으로 강화한다. 대고객 서비스의 경우 기획, 개발, 운영 시 체계적 시스템 하에 보안성을 검토한다.

서비스, 네트워크, DB 등 인프라에 대한 시스템을 고도화하고 최신 보안 위협 대응을 위한 신규 보안 솔루션을 적극 도입하고, 정보보안 인증(ISMS 등) 취득에도 나설 예정이다. 또한 고객정보 접속기록, 외부 침해시도에 대한 모니터링을 강화하는 한편 고객정보 유출 대응력 확보를 위한 정기 침해사고 대응 훈련도 도입할 계획이다.

▲ 5대 보안강화 대책 도입
1. 회원정보와 숙박 예약정보 분리 및 암호화 관리
2. 예약 고객정보 제휴점 전송 시 닉네임과 가상번호로 대체
3. ’개인정보보호 전담임원(CPO)’ 영입 및 고객정보보호팀 운영 강화
4. 외부 전문기관과 공조를 통한 침해 예방 및 사고대응 모니터링 시스템 구축
5. 국내외 정보보호인증 및 최신 보안위협에 대응 가능한 신규 보안 솔루션 도입

여기어때는 해킹 이후 어설픈 변명과 늦은 공지로 이용자들의 비난을 받아왔다. 이용자가 이해할 수 있는 대처와 합당한 보상을 제대로 실행해 이용자 신뢰 회복이 필요한 시점이다. /mcadoo@osen.co.kr

[사진] 위는 여기어때 대표 사과문, 아래는 여기어때 5대 보안강화 대책