`91만명 정보 해킹` 여기어때, 재발방지 약속

[이데일리 김유성 기자] 숙박 O2O 서비스 ‘여기어때’ 운영사 위드이노베이션이 최근 발생한 해킹 사건과 관련해 사과하고 재발 방지를 다짐했다. 이와 함께 위드이노베이션은 최근 해킹으로 고객 91만명의 이용자명, 휴대전화 번호, 숙박 이용 정보 323만건의 정보가 침해됐다고 전했다.

30일 위드이노베이션에 따르면 해커가 사용자에게 문자메시지를 전송한 수는 지난 23일까지 총 4000여건이다. 이후 추가 피해는 접수되지 않았다. 현재 합동조사 결과를 기다리고 있는 상황이다.

여기어때는 문제점이 발견된 시스템 내 취약점을 전문 보안컨설팅 업체와 진단하고 있다. 즉각 조치하고 데이터베이스(DB)와 네트워크 보안을 강화하는 등 추가 피해를 막기 위해 사고대응TF를 가동 중이다.

심명섭 대표는 “사용자 신뢰가 근본인 숙박O2O 서비스에서 이러한 문제가 발생한 점에 대해 진심으로 사죄 드린다. 회사의 모든 자원을 투입해 시스템 보완 및 강력한 보안 인프라를 구축하겠다. 향후 유사사례가 발생하지 않도록 만전을 기할 것”이라고 말했다.

또한 “현재까지 해커들이 고객들에게 전송한 문자메시지의 내용, 구체적 경위 등 정부 합동 조사 결과를 기다리고 있다. 향후 확인되는 고객들의 피해규모 및 유형 등을 분석해 적법한 절차에 따라 신속하게 피해를 보상하기 위한 방안을 마련 중”이라고 덧붙였다.

아울러 회사는 유사사건 방지 및 고객정보 보호를 위해 5대 보안강화 대책을 도입한다고 밝혔다. 주요 내용으로는 △회원정보와 숙박 예약정보 분리 및 암호화 관리 △예약 고객정보 제휴점 전송 시 닉네임과 가상번호로 대체 △‘개인정보보호 전담임원(CPO)’ 영입 및 고객정보보호팀 운영 강화 △외부 전문기관과 공조를 통한 침해 예방 및 사고대응 모니터링 시스템 구축 △국내외 정보보호인증 및 최신 보안위협에 대응 가능한 신규 보안 솔루션 도입이다.

여기어때는 앞으로 회원정보와 숙박 예약정보(숙박업소, 일시 등) DB를 완전 분리한다. 예약 시 고객이 직접 입력하는 정보(실명, 전화번호)도 닉네임과 가상번호로 대체한다. 휴대폰번호 등 연락처를 일절 사용하지 않는다는 방침이다. 고객정보를 악용할 수 없도록 원천 소스를 없애는 작업이다.

또한 정보보호 전문가를 영입해 전담팀을 구성하고 IT인프라 보안강화를 위해 정보보호 아키텍쳐 및 운영체계를 대형 인터넷 기업 수준으로 강화한다. 대고객 서비스의 경우 기획, 개발, 운영 시 체계적 시스템 하에 보안성을 검토한다. 서비스, 네트워크, DB 등 인프라에 대한 시스템을 고도화하고 최신 보안 위협 대응을 위한 신규 보안 솔루션을 적극 도입한다. 정보보안 인증(ISMS 등) 취득에도 나선다.

다음은 심명섭 위드이노베이션 대표의 사과문이다.

고객님께 진심으로 사과드립니다.

여기어때를 아껴주신 고객께 심려 끼쳐 드린 점, 머리숙여 사과드립니다.

2014년 여기어때 서비스를 시작한 이래 수많은 시행착오를 겪으면서, 숙박업계의 낡은 관행을 타파하고 고객만족과 숙박산업 혁신이라는 목표 아래 불철주야 달려왔습니다. 그리고 이러한 노력을 고객들께서 조금씩 알아봐주시는 것에 감사한 마음으로 더욱 잘해보고자 하였습니다. 그러나 성장에 심취해 세심히 살피지 못하고 해킹이라는 불미스러운 사태가 발생한 것에 대해 너무나 부끄럽고 죄송한 심정입니다.

사건발생 직후 방통위와 경찰청, KISA 등 정부주요 부처와 공조하여 조속한 사건 해결을 위해 최선을 다하고 있습니다.

합동조사 진행 중인 내용을 바탕으로 저희가 파악한 바에 따르면 고객 91만명의 이용자명, 휴대전화번호, 숙박 이용정보 323만건이 침해된 것으로 확인되었습니다. 해당 고객께는 개별로 관련 내용을 알려드리고 있습니다. 고객님의 소중한 정보가 유출된 점에 대해 진심으로 사과 드리며 해킹조직 검거 및 2차 피해를 방지하기 위해 관계기관과 긴밀하게 협조하고 있습니다.

문제점으로 파악된 시스템 내 취약점은 전문보안업체와 진단, 즉각 조치하고 데이터베이스와 네트워크 보안을 강화하였습니다. 추가 피해를 최소화하기 위해 사고대응TF 가동 및 전담 상담센터를 운영 중이며 전구성원이 비상대응체제를 유지하고 있습니다.

이번 사건으로 피해 입은 고객들의 피해회복에도 최선을 다하고 있습니다. 사고경위와 정부 합동조사 결과에 따라 향후 확인되는 고객들의 2차 피해규모 및 유형 등을 파악하여 적법한 절차에 따라 신속하게 피해보상할 수 있는 방안을 마련하겠습니다.

여기어때는 이번 일을 계기로 서비스의 근간부터 바꾸겠습니다. 고객정보 최소 수집 및 최소 사용과 더불어 수집된 정보의 안정성을 극대화한다는 목표로 강력한 보안정책을 시행하겠습니다.

우선 숙소 예약정보를 완전 암호화하고 예약 시 고객께서 입력하는 정보도 닉네임과 가상번호로 대체하여 서비스 내 개인정보가 일체 사용되지 않도록 시스템을 개편하겠습니다. 또한 정보보호 전문가를 영입하고, 개인정보 전담팀을 구성 및 보안 인프라를 대형 인터넷 기업 수준으로 강화하여 고객께서 안심하고 이용할 수 있는 서비스를 만들겠습니다.

여기어때를 믿고 이용해주신 고객님의 상심은 너무나 크실 것으로 생각되어 송구스러운 마음 뿐입니다. 한편으로는 지금의 여기어때를 함께 일구어 온 동료들에게 대표이사로서 사과 드리고 용서를 구합니다.

빠른 성장과 앞만 바라보고, 넓게 보지 못한 저로 인해 지난 3년간 그들의 수고와 노력으로 쌓아온 공든 탑이 무너지는 것 같아 가슴이 아픕니다.

비온 뒤에 땅이 굳어지듯 전구성원이 노력하여 더욱 신뢰할 수 있는 서비스로 거듭나겠습니다. 그리고 고객들께 다시 인정받겠습니다.

어려운 상황 속에서도 여기어때를 격려, 지지해주시는 분들께 깊은 사과와 감사를 드리며 그 믿음에 보답할 것을 약속드립니다. 감사합니다.

위드이노베이션 대표이사 심명섭