숙박 O2O 서비스 '여기어때' 해킹으로 유출된 고객정보가 91만건에 달하는 것으로 조사됐다. 침해된 숙박 이용정보는 323만건에 이른다.
여기어때 운영사인 위드이노베이션은 고객 91만명의 이름, 휴대전화번호와 숙박 이용정보 323만건이 해커에 의해 유출된 것으로 확인됐다고 30일 밝혔다.
위드이노베이션은 24일 고객정보 유출이 알려진 후 방송통신위원회·한국인터넷진흥원(KISA)·경찰청 등과 피해 규모 등을 조사했다. 해커가 사용자에게 전송한 문자 메시지 수는 4000여건이다. 현재 합동조사 결과를 기다리는 상황이다.
회사는 문제점이 발견된 시스템 내 취약점을 전문 보안컨설팅 업체와 진단, 즉각 조치했다. 데이터베이스(DB)와 네트워크 보안을 강화하는 등 추가 피해를 막기 위한 사고대응 태스크포스(TF)를 가동한다.
심 대표는 “사용자 신뢰가 근본인 숙박 O2O 서비스에서 문제가 발생한 점에 대해 사죄한다”면서 “모든 회사 자원을 투입해 시스템을 보완하고 강력한 보안 인프라를 구축하겠다”고 말했다.
또 “향후 확인되는 고객 피해 규모와 유형 등을 분석해 적절한 절차에 따라 신속하게 피해를 보상하는 방안을 마련하겠다”고 덧붙였다.
회사는 유사사건 방지와 고객정보 보호를 위해 5대 보안강화 대책을 도입한다고 밝혔다. 주요 내용은 '고객정보 최소 수집 및 최소 사용'과 '수집한 정보 안전성 극대화'라는 원칙 아래 수립했다는 방침이다.
여기어때는 회원정보와 숙박 예약정보(숙박업소, 일시 등) DB를 완전 분리한다. 예약 시 고객이 직접 입력하는 정보(실명, 전화번호)도 닉네임과 가상번호로 대체한다. 휴대폰 번호 등 연락처를 일절 사용하지 않는다.
정보보호 전문가를 영입해 전담팀을 구성하고 IT인프라 보안강화를 위해 정보보호 아키텍쳐와 운용체계를 대형 인터넷 기업 수준으로 강화한다. 대고객 서비스는 기획, 개발, 운영 시 체계적 시스템 하에 보안성을 검토한다.
서비스, 네트워크, DB 등 인프라 시스템을 고도화하고 최신 보안 위협 대응을 위한 신규 보안 솔루션을 적극 도입한다.
ISMS 인증 등 정보보안 인증 취득에도 나선다. 고객정보 접속기록, 외부 침해시도에 대한 모니터링을 강화하는 한편, 고객정보 유출 대응력 확보를 위한 대응 훈련도 도입한다.
<여기어때 5대 보안강화 대책>
박정은기자 jepark@etnews.com
