문자 받은 회원만 4000명…피해규모 더 커질 수도
숙박정보 등 민감한 정보까지 노출돼 이용자 불신↑
KISA "보안관리 제대로 이뤄지지 않았다"
[아시아경제 한진주 기자] 숙박앱 '여기어때'가 이용자 4000여명의 개인정보를 해킹당해 신뢰도에 큰 손상을 입었다. 민감한 숙박정보로 해커들이 협박성 문자를 보낸 사실까지 드러나 이용자 이탈이 가속화될 전망이다.
27일 인터넷진흥원 등에 따르면 '여기어때'의 누적 가입자 400만명 중 정보가 유출된 것으로 확인된 고객 수는 4000명이다. 이 숫자는 문자메시지를 받은 고객의 수를 집계한 것으로 보안업계에서는 향후 피해 규모가 더 확대될 수 있을 것으로 보고 있다.
여기어때를 운영하는 위드이노베이션은 최근 고객 정보 데이터베이스를 해킹 당해 고객 전화번호, 이메일, 숙소정보 등이 유출됐다. 해커들은 이 정보로 이용자들에게 '안녕하세요 여기어때 운영팀입니다 OOO님 O월O일 OO호텔에서 잘하셨나요'라는 문자를 보냈다. 이 과정에서 문자 발송 사이트도 해킹한 것으로 알려졌다.
여기어때의 경우 개인정보 뿐 아니라 민감한 숙박 정보까지 노출돼 숙박앱에 대한 이용자들의 불신도 커지고 있다. 구글 플레이 앱 리뷰에서도 여기어때의 소홀한 대처를 질타하는 글들이 이어졌다.
한 이용자는 "해킹 당해서 문자온 건 그렇다 쳐도 이후로 아이핀 인증요청이나 신용 정보 변경 알림 등 엄청나게 털리고 있는데 어떻게 책임질 것이냐"라고 지적했다.
또 다른 이용자는 "숙박업체 최초로 해킹당한 여기어때, 불안해서 못하겠다"고 말했다.
해킹 사고가 한 번이라도 발생한 이상 이용자들에게 보안에 소홀하다는 이미지를 지우기 어렵다. 이용자들의 불신을 해소하지 못할 경우 사업에도 차질을 빚을 수 있다. 네이트의 경우 지난 2011년 3500만명의 개인정보를 해킹당한 후 이용자가 감소했고 서비스도 크게 위축됐다.
경쟁사인 야놀자는 해킹 사고 발생 직후 '최근 이슈가 되고 있는 해킹을 통한 개인정보 유출사건과 관련해 야놀자에서는 아무런 피해가 발생하지 않았으며 회원님들의 소중한 개인정보는 안전하게 지켜지고 있다'는 이메일을 보내기도 했다.
여기어때의 미흡한 대처도 도마에 올랐다. 여기어때 측은 중국발 IP로부터 'SQL 인젝션 공격'을 받았다고 주장했다. SQL 인젝션 공격은 응용 프로그램 보안 상의 허점을 이용해, 개발자가 생각지 못한 SQL문을 실행되게 함으로써 데이터베이스를 비정상적으로 조작하는 방법이다.
인터넷진흥원 관계자는 "여기어때 측에서 200번 정도 공격이 있었다고 주장하는데 그렇다면 더 보안에 철저했어야 하는데 제대로 관리가 안된 것"이라고 설명했다.
이어 "SQL 인젝션이라는건 기본적으로 많이 쓰는 공격 방법인데, 이를 방어하는 조치를 취했어야 했다"며 "SQL인젝션 공격을 막으려면 기본적으로 소스코드를 수정해야하는데 여기어때 측에서는 이 부분을 손보지 않았다"고 지적했다.
이번 해킹사고로 여기어때 측은 처벌을 피할 수 없게 됐다. 보안 조치가 미흡했던 만큼 개인정보보호법 위반 혐의로 인한 형사처벌, 고객들의 민사소송까지 이어질 것으로 보인다.
보안업계 관계자는 "개인정보보호법 위반에 해당되며 이용자들의 민사소송도 이어질 것으로 예상된다"며 "무엇보다 앞으로 누가 '여기어때'를 믿고 사용할 수 있을지도 의문"이라고 말했다.
한진주 기자 truepearl@asiae.co.kr
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>
![[르포]](https://cwcontent.asiae.co.kr/asiaresize/308/2025121215342254446_1765521263.jpg)
![[날씨]일요일 전국 눈·비…빙판길 유의](https://cwcontent.asiae.co.kr/asiaresize/308/2024011509135729152_1705277637.jpg)
