여기어때 "이용자명·폰번호 91만건, 숙박정보 323만건 유출"

해커가 고객 정보 빼내 문자 보낸 건수만 4000여건
총 323만건 숙박 이용정보 유출…"피해 보상 방안 마련중"

[아시아경제 한진주 기자] 여기어때가 데이터베이스 해킹으로 인해 91만명의 이용자 명과 휴대폰 번호를 유출당한 것으로 확인됐다.

30일 여기어때를 운영하는 위드이노베이션은 방송통신위원회, 한국인터넷진흥원, 경찰청 등과 공조해 지난 일주일간 피해 규모 등을 조사한 결과 91만명의 이용자명과 휴대폰 번호, 323만건의 숙박 이용 정보가 유출됐다고 밝혔다. 해커가 이용자에게 문자를 전송한 건수는 4000여건으로 파악됐다.

해커는 여기어때 고객 정보를 빼낸 뒤 문자 발송 업체의 시스템을 해킹해 이용자들에게 "X월X일 (숙박업소명)에서 즐거우셨나요"라는 내용의 문자 메시지를 보냈다.

여기어때는 "현재까지 해커들이 고객들에게 전송한 문자메시지의 내용, 구체적 경위 등 정부 합동 조사 결과를 기다리고 있다"며 "향후 확인되는 고객들의 피해규모 및 유형 등을 분석해 적법한 절차에 따라 신속하게 피해를 보상하기 위한 방안을 마련 중"이라고 말했다.

현재까지는 피해 규모만 밝혀졌고 해커가 공격한 목적과 국적까지는 밝혀지지 않았다. 여기어때 측은 DB를 공격한 IP가 중국발이라고 밝혔다. 그러나 해커들이 고객 정보를 빼낸 후 여기어때에 이메일을 보내 수 억원의 금전(비트코인)을 요구한 것으로 알려지면서, 사드 보복으로 인한 공격이 아닐 수 있다는 분석이 나온다.

여기어때는 문제점이 발견된 시스템 내 취약점을 전문 보안컨설팅 업체와 진단, 즉각 조치하고 데이터베이스(DB)와 네트워크 보안을 강화하는 등 추가 피해를 막기 위해 사고대응TF를 가동 중이다.

향후 여기어때는 회원정보와 숙박 예약정보(숙박업소, 일시 등) DB를 완전 분리한다. 예약할 때 고객이 직접 입력하는 정보(실명, 전화번호)도 닉네임과 가상번호로 대체하고 휴대폰번호 등 연락처를 일절 사용하지 않겠다고 밝혔다. 고객정보를 악용할 수 없도록 원천 소스를 없애는 작업이다.

정보보호 전문가를 영입해 전담팀을 구성하고 정보보안 인증(ISMS 등) 취득에도 나서기로 했다. 서비스, 네트워크, DB 등 인프라에 대한 시스템을 고도화하고 최신 보안 위협 대응을 위한 신규 보안 솔루션을 적극 도입하겠다고 밝혔다. 고객정보 유출 대응력 확보를 위한 정기 침해사고 대응 훈련도 실시하겠다고 덧붙였다.

심명섭 위드이노베이션 대표는 "사고경위와 정부 합동조사 결과에 따라 향후 확인되는 고객들의 2차 피해규모 및 유형 등을 파악하여 적법한 절차에 따라 신속하게 피해보상할 수 있는 방안을 마련하겠다"며 "이번 일을 계기로 서비스의 근간부터 바꾸고 고객정보 최소 수집 및 최소 사용과 더불어 수집된 정보의 안정성을 극대화한다는 목표로 강력한 보안정책을 시행하겠다"고 말했다.