[컨슈머와이드-전휴성 기자] 여기어때 해킹사건으로 고객 91만명의 개인정보가 유출된 것으로 확인됐다. 여기어때를 운영중인 위드이노베이션(이하 여기어때)는 고객정보보호 5대 보안강화 정책 발표와 함께 다시한번 공식 사과했다. 그러나 이는 아직 중간 집계 결과로 피해 규모는 더 늘어날 수 있다.

여기어때는 방송통신위원회·한국인터넷진흥원(KISA)·경찰과 함께 피해 규모 등에 대한 조사를 벌인 결과, 고객 91만명의 이용자명, 휴대전화번호, 숙박 이용정보 323만건이 해킹으로 유출된 것으로  확인됐다.

해커가 사용자에게 문자메시지를 전송한 수는 지난 23일까지 총 4000여 건이며 이후 추가 피해는 접수되지 않았다. 

현재 어기어때는 문제점이 발견된 시스템 내 취약점을 전문 보안컨설팅 업체와 진단, 즉각 조치하고 데이터베이스(DB)와 네트워크 보안을 강화하는 등 추가 피해를 막기 위해 사고대응TF를 가동 중인 것으로 알려졌다.

또한 여기어때는 재발 방지를 위해 5대 보안강화 대책을 도입한다. 우선 앞으로 회원정보와 숙박 예약정보(숙박업소, 일시 등) DB를 완전 분리한다. 예약 시 고객이 직접 입력하는 정보(실명, 전화번호)도 닉네임과 가상번호로 대체한다. 휴대폰번호 등 연락처를 일절 사용하지 않는다. 정보보호 전문가를 영입해 전담팀을 구성하고 IT인프라 보안강화를 위해 정보보호 아키텍쳐 및 운영체계를 대형 인터넷 기업 수준으로 강화한다. 대고객 서비스의 경우 기획, 개발, 운영 시 체계적 시스템 하에 보안성을 검토한다. 서비스, 네트워크, DB 등 인프라에 대한 시스템을 고도화하고 최신 보안 위협 대응을 위한 신규 보안 솔루션을 적극 도입한다. 정보보안 인증(ISMS 등) 취득에도 나선다. 고객정보 접속기록, 외부 침해시도에 대한 모니터링을 강화하는 한편, 고객정보 유출 대응력 확보를 위한 정기 침해사고 대응 훈련도 도입한다.

문제는 이같은 대책이 사고가 발생하기 전에 이뤄졌어야 했다는 점이다. 앞서 밝힌 것과 같이 현재 해킹으로 유출된 고객정보만 91만명에 달하고 피해자가 더 늘어날 수 있는 상황이다. 때문에 여기어때의 이번 조치는 소잃고 외양간 고치는 격이다.

앞으로 피해보상을 어떻게 잘 마무리하느냐가중요하다. 현재 어기어때는 사고경위와 정부 합동조사 결과에 따라 향후 확인되는 고객들의 2차 피해규모 및 유형 등을 파악해 적법한 절차에 따라 신속하게 피해보상할 수 있는 방안을 마련하겠다고 밝혔다. 개인정보 유출피해를 본 고객 중 2차 피해를 본 고객에게만 피해보상을 하겠다는 것으로 보인다. 반드시 이번 해킹으로 개인정보 유출 피해를 본 모든 고객에 대한 보상안이 나와야 할 것으로 보인다.

업계 관계자는 “ 돈이 될 것 같으면 앞다투어 O2O 서비스에 뛰어들고 있지만 정작 개인정보 보호 등에 등한시하는 경우가 많았다”며 “이번 역시 그 대표적인 사례라고 할 수 있다. 결국 피해를 보는 것은 이번에 개인정보가 유출된 고객들이다. 이같은 문제를 일으킨 업체에 대해선 반드시 책임을 지게 하는 정책이 필요하다”고 말했다.

한편, 어기어때 심명섭 대표는 이번 해킹 사건과 관련해 공식 사과 했다. 심명섭 대표는 “사용자 신뢰가 근본인 숙박O2O 서비스에서 이러한 문제가 발생한 점에 대해 진심으로 사죄 드린다”며 “회사의 모든 자원을 투입해 시스템 보완 및 강력한 보안 인프라를 구축하겠다. 향후 유사사례가 발생하지 않도록 만전을 기할 것”이라고 말했다.

그러면서 “현재까지 해커들이 고객들에게 전송한 문자메시지의 내용, 구체적 경위 등 정부 합동 조사 결과를 기다리고 있다. 향후 확인되는 고객들의 피해규모 및 유형 등을 분석해 적법한 절차에 따라 신속하게 피해를 보상하기 위한 방안을 마련 중”이라고 덧붙였다.