정보 탈탈털린 숙박앱 '여기어때'…O2O 스타트업 보안문제 도마에

머니투데이 김지민 기자, 서진욱 기자 2017.03.26 18:30
글자크기

업계 관리소홀에 '무게'…"제도 마련해야" 목소리

/여기어때 모바일 앱 화면 캡처/여기어때 모바일 앱 화면 캡처


숙박 O2O(온·오프 연계사업) 업체 ‘여기어때’의 해킹 사건으로 관련 스타트업(신생 벤처기업) 보안 문제가 도마에 올랐다. 26일 ‘여기어때’ 운영사 위드이노베이션에 따르면 최근 신원 미상의 해커들이 중국 IP(인터넷주소)를 통해 데이터베이스(DB)에 침투, 호텔명·예약일시·전화번호·e메일 등을 포함해 4000여건에 달하는 고객정보를 빼갔다.



회원 가입 시 필요한 개인정보뿐 아니라 숙박업체를 예약할 때 기재하는 체크인 기록 등 민감한 정보까지 대거 털렸다는 점에서 2차 피해 확산이 우려되는 상황이다. 이번 사건을 계기로 O2O 업체들의 취약한 보안 제도 전반에 대한 점검이 필요하다는 지적이 나온다.

◇성인·숙박 서비스만 노리는 해킹 기승=보안업계에 따르면 성인·숙박 관련 웹사이트·앱(애플리케이션)만을 노리는 해킹범죄가 갈수록 늘고 있다.



가장 대표적인 해킹 사건으로 지난 2015년 3800만명에 달하는 회원 신상 정보가 유출된 불륜 조장 웹사이트 ‘애슐리 매디슨’을 꼽는다. 이어 지난해 세계 최대 규모 성인사이트 운영사 ‘프렌드파인더 네트워크’에서 390만개 개인 정보가 빠져나갔다. 2건 모두 사회적·윤리적으로 문제를 일으킬 소지가 다분한 정보가 노출돼 홍역을 치렀다.

‘여기어때’도 비슷한 상황. 현재까지 4000여건에 달하는 고객 체크인 정보가 빠져나간 것으로 파악됐다. 회원가입을 위해 필요한 e메일, 소셜 아이디부터 체크인할 때 기록하게 돼 있는 예약자·예약날짜·연락처 등 정보까지 송두리째 뺏겼다.

보안업계는 해커가 실제 예약을 진행하지 않은 고객들의 정보도 모두 빼간 것으로 추정, 앞으로 유출된 개인 정보는 해당업체가 밝힌 4000개 보다 더 늘어날 수 있다고 전망했다.


금전적·정신적 피해도 발생하고 있다. 고객정보를 빼돌린 해커 일당은 지난 24일 위드이노베이션 직원에게 이메일을 보내 수 억 원 규모의 비트코인을 요구했다. 이용자들에게는 고객정보를 통해 날짜와 숙박업체명을 거론하며 ‘즐거우셨나요’, ‘황홀하셨나요’ 등과 같은 수치심을 일으키는 내용의 문자 메시지를 보낸 것으로 확인됐다.
/여기어때 홈페이지에 올라온 공지문 /여기어때 홈페이지 화면 캡처/여기어때 홈페이지에 올라온 공지문 /여기어때 홈페이지 화면 캡처
◇느슨한 정보 보호 정책 재점검해야=이번 사태로 사생활과 밀접한 정보를 관리하는 O2O 업체들의 보안 정책을 재점검해야 한다는 목소리가 높다. ‘여기어때’의 경우 해킹 수법에 대한 경찰 조사가 현재 진행 중이나 보안업계는 ‘관리 소홀’에 무게를 두는 분위기이다.

업계는 이번 해킹이 해커들이 기본적으로 쓰는 ‘SQL인젝션’ 방식을 활용한 것으로 추정했다. 이 방식은 해커가 주소창이나 아이디, 비밀번호 입력창에 명령어만 입력하면 웹사이트에 손쉽게 접속, 원하는 정보를 탈취할 수 있다.

한 전문가는 “SQL인젝션은 해커들이 자주 쓰는 기본 해킹법”이라며 “암호화가 해독됐다는 것 자체만으로도 관리 부실 책임에서 벗어나기 힘들 것“이라고 말했다.

일각에선 ‘여기어때’ 해킹을 계기로 O2O 업체들을 대상으로 한 대비책 마련을 서둘러야 한다는 지적이 나온다. 체크인 정보 등을 악용해 개인이나 업체에 뒷돈을 요구하는 2차 피해 가능성도 높기 때문이다.

제도적 보완 필요성도 요구된다. ‘여기어때’는 지난해 숙박업계 처음으로 개인정보보호협회로부터 ‘보안 e프라이버시’ 인증을 받았다며 마케팅에 적극 활용했다. 하지만 이는 법에서 요구하는 기본사항을 만족하는 업체에 부여하는 수준의 제도로 완벽한 보안 대비책으로 보기 어렵다는 게 전문가들의 중론이다. 한편 위드이노베이션 측은 “경찰 조사로 책임소재가 명확해지면 피해 보상 대책을 마련하겠다”라고 밝혔다.
TOP