여기어때 "고객 91만명 정보 침해 확인"

[아이뉴스24 민혜정기자] 해킹으로 여기어때 고객 91만명의 이용자명, 휴대전화번호, 숙박 이용정보 323만건의 개인정보가 침해당한 것으로 나타났다.

30일 여기어때의 운영사인 위드이노베이션은 방송통신위원회∙한국인터넷진흥원(KISA)∙경찰청 등과 공조해 지난 일주일간 피해 규모 등을 집중 조사했다고 발표했다.

현재까지 조사 결과 해커가 사용자에게 문자메시지를 전송한 수는 지난 3월 23일까지 총 4천여 건이다. 현재 합동조사 결과를 기다리고 있는 상황이지만, 여기어때는 고객들의 피해 확산을 막기 위해 이날 해킹과 관련된 전체 공지를 실시했다.

회사는 문제점이 발견된 시스템 내 취약점을 전문 보안컨설팅 업체와 진단, 즉각 조치하고 데이터베이스(DB)와 네트워크 보안을 강화하는 등 추가 피해를 막기 위해 사고대응TF를 가동 중이다.

심명섭 대표는 "사용자 신뢰가 근본인 숙박O2O 서비스에서 이러한 문제가 발생한 점에 대해 진심으로 사죄 드린다"며 "회사의 모든 자원을 투입해 시스템 보완 및 강력한 보안 인프라를 구축하고 향후 유사사례가 발생하지 않도록 만전을 기할 것"이라고 말했다.

이어 "현재까지 해커들이 고객들에게 전송한 문자메시지의 내용, 구체적 경위 등 정부 합동 조사 결과를 기다리고 있다"며 " 향후 확인되는 고객들의 피해규모 및 유형 등을 분석해 적법한 절차에 따라 신속하게 피해를 보상하기 위한 방안을 마련 중"이라고 덧붙였다.

아울러 회사는 유사사건 방지 및 고객정보 보호를 위해 5대 보안강화 대책을 도입한다고 밝혔다. 주요 내용은 '고객정보의 최소 수집 및 최소 사용'과 더불어 '수집한 정보의 안전성 극대화'라는 원칙 아래 수립됐다.

5대 대책은 ▲회원정보와 숙박 예약정보 분리 및 암호화 관리 ▲예약 고객정보 제휴점 전송 시 닉네임과 가상번호로 대체 ▲개인정보보호 전담임원(CPO) 영입 및 고객정보보호팀 운영 강화 ▲외부 전문기관과 공조를 통한 침해 예방 및 사고대응 모니터링 시스템 구축 ▲국내외 정보보호인증 및 최신 보안위협에 대응 가능한 신규 보안 솔루션 도입이다.

여기어때는 앞으로 회원정보와 숙박 예약정보(숙박업소, 일시 등) DB를 완전 분리한다. 또한 예약 시 고객이 직접 입력하는 정보(실명, 전화번호)도 닉네임과 가상번호로 대체한다. 휴대폰번호 등 연락처를 일절 사용하지 않는다는 방침이다. 고객정보를 악용할 수 없도록 원천 소스를 없애는 작업이다.

또 정보보호 전문가를 영입해 전담팀을 구성한다. 서비스, 네트워크, DB 등 인프라에 대한 시스템을 고도화하고 최신 보안 위협 대응을 위한 신규 보안 솔루션을 적극 도입한다. 정보보안 인증(ISMS 등) 취득에도 나선다.