객실명까지 민감정보 '줄줄'…여기어때 '줄소송' 이어지나

징벌적 손배 첫 적용…300만원이내 '법정손배'도 주목

(서울=뉴스1) 박희진 기자,이수호 기자 = 숙박 O2O업체 '여기어때'를 이용한 투숙객의 이동전화 번호, 이름, 객실명, 입·퇴실 가능시간까지 총 91만건의 민감정보가 유출된 것으로 공식 확인되면서 피해 고객의 법적대응에 이목이 집중되고 있다. 특히 이번 개인정보 유출 사고는 지난해 시행된 '징벌적 손해배상제도'가 처음 적용되는 경우라 고강도의 제재수위가 불가피할 전망이다.

26일 방송통신위원회와 미래창조과학부가 지난 7일부터 17일까지 발생한 여기어때 개인정보 유출 침해사고를 조사한 결과, 해커는 여기어때 마케팅센터 웹페이지에 SQL 인젝션 공격을 통해 데이터베이스(DB)에 저장된 관리자 세션값을 탈취하고 이어 세션변조 공격을 통해 '서비스관리 웹페이지'를 관리자 권한으로 우회접속해 예약정보·제휴점정보·회원정보를 유출한 것으로 드러났다.

해커가 홈페이지 관리자로 둔갑해 엑셀파일로 돼 있는 제휴점 정보와 CVS파일 형태의 예약내역을 파일로 다운로드받은 것. 또 회원가입 정보는 화면조회를 통해 유출했다.

이렇게 확보한 개인정보는 99만584건에 달한다. 이는 중복건수를 제외한 수치라 99만584명의 정보가 유출된 셈이다. 여기어때 회원수는 약 300만명으로 3분의 1에 달하는 고객정보가 유출됐다.

유출된 정보 수위도 높다. 그간 수차례 개인정보 유출건이 있었지만 주민번호, 이름, 이메일, 계좌번호 수준이었는데 이번에는 어느 숙박업체에서 언제, 누가 예약해서 어느 객실에 머물렀는지, 결제는 어떻게 했고 투숙 예약자는 누구였는지 숙박관련 민감정보가 대거 새나갔다.

이들 예약정보 관련 건수는 323만9210건에 달한다. 또 제휴점 정보로 숙박업체명, 은행명, 계좌번호, 예금주, 이동전화 번호 등1163건이 유출됐다. 또 이메일주소, 이름 또는 닉네임, 기기정보 등 회원정보 17만8625건이 유출됐다. 유출된 정보의 전체 합산은 341만8998건이지만 중복을 제거하면 99만584건이다.

© News1 최진모 디자이너

유출된 정보가 개인의 사생활에 관련된 민감정보가 대거 포함돼 있는데다 해커가 여기어때 서비스 이용고객에게 4817건의 '협박성 음란문자'(SMS)를 발송해 고객들의 피해가 이미 입증된 상황이라 고객들의 법적대응 수위가 상당할 전망이다. 이들 정보가 스미싱, 불법대출에 악용되는 2차 피해까지 벌어질 가능성도 있다. 미래부 관계자는 "아직까지 2차 피해로 이어진 경우는 없다"고 말했다.

특히 징벌적 손해배상이 처음 적용되는 사례여서 제재수위에 대한 관심이 더하다. 지난 7월 25일부터 개인정보보호법, 정보통신망 이용촉진 및 정보보호에 관한 법률, 신용정보의 이용 및 보호에 관한 법률이 개정돼 징벌적 손해배상제도가 도입됐다. 징벌적 손해배상제도는 민사재판에서 가해자의 행위가 악의적이고 반사회적일 경우 실제 손해액보다 훨씬 더 많은 손해배상을 하게 하는 제도다. 개인정보처리자의 고의 또는 중대한 과실로 개인정보가 유출될 때, 법원은 손해액의 3배 넘지 않는 범위 내에서 손해배상을 정할 수 있다.

게다가 개인정보가 유출된 경우 피해자가 실제 피해를 증명하지 않아도 300만원 이하의 범위에서 손해액을 인정할 수 있도록 하는 '법정 손해배상제도'도 적용된다. 이 제도는 2014년 5월 신설돼 지난해 일부 개정돼 9월23일부터 시행됐다. 그간 정보유출 피해가 발생해도 피해자가 직접 피해 사실을 입증해야 해 '솜방망이 처벌'에 그친다는 지적이 끊이질 않았다.

미래부 관계자는 "정부 차원에서 이번 정보유출 사고에 대한 조사 결과를 처음 밝힌 만큼, 향후 손해배상, 집단소송 등 법적대응이 정부의 발표를 근거로 시작될 것으로 보인다"고 말했다.

법조계는 이번 사건이 민감한 사생활 정보를 담고 있어 정보통신망법 위반에 대한 형사고소와 더불어 민사상 손해배상도 가능할 것이라는 시각이다. 법조계 관계자는 "숙박기록을 가족에 알리는 방식으로 협박해 금전을 요구하는 경우가 있을 것"이라며 "민감한 사생활 정보 노출이라는 점에서 정신적 피해 손해배상 금액이 상당히 인정될 것"이라고 말했다.
2brich@

[© 뉴스1코리아(news1.kr), 무단 전재 및 재배포 금지]