고객의 이름과 예약한 숙박업소 이름, 예약 날짜, 이메일, 전화번호 같은 민감의 내용이 포함됐다.
정보 유출로 지난 3월 4800여 명의 고객들은 협박성 음란문자를 받는 황당한 경험을 했다.
해커는 `SQL인젝션`이라는 수법으로 고객 정보를 유출했다.
SQL인젝션이란 DB를 관리하는 SQL 명령어에 악성코드를 삽입해 해커가 원하는 대로 조작하는 해킹 공격 중 하나로 해커가 정보를 탈취할 때 사용하는 가장 흔한 공격방식중 하나로 알려져 있다.
보안 전문가들은 웹방화벽을 이용하는 것만으로도 SQL인젝션 공격을 예방하는데 도움이 되지만 여기어때는 기본적인 보안체계도 갖추지 않은 것으로 분석했다.
◇ 2년새 매출 300배 성장..보안의식은 `미흡`
여기어때를 운영하고 있는 위드이노베이션은 지난 2015년 9월 출범했다.
숙박앱 업계 후발주자인 만큼 제휴광고와 무료 예약 등 혜택으로 점유율을 빠르게 끌어올렸고, 지난해에는 애플이 선정한 2016년 최고 앱으로 선정되기도 했다.
2015년 8300만원이던 매출은 지난해 246억원으로 3배로 늘어났다.
회사는 급 성장했지만 고객 정보 보호에 대한 인식은 함께 성장하지 못했다.
숙박앱 1위사업자인 야놀자의 경우에는 올해 1월 정부의 공식 정보보안 인증제도인 ISMS로 이런 사태에 대해 미리 대비했다.
ISMS(Information Security Management System)는 기업이 각종 위협으로부터 정보자산을 보호하기 위한 보안시스템 인증제도로 미래창조과학부와 한국정보통신진흥협회(KAIT)와 한국인터넷진흥원(KISA)이 유관기관이다.
ISMS인증은 정보통신망을 이동통신사나 정보통신 서비스 제공을 위해 서버를 운영하는 포털이나 게임, 홈쇼핑 같은 사업자 외에도 전년도 매출액이 100억원 이상이거나 일 평균 이용자 수가 100만명 이상인 사업자들의 경우 의무적으로 받아야 한다.
여기어때의 경우 지난해 매출 246억원을 달성하면서 올해 인증의무대상이 됐다.
한국인터넷진흥원(KISA) 관계자는 "여기어때로 공문을 발송해 올해 ISMS의무 대상자임을 알렸지만 아직 ISMS인증을 신청하겠다고 의사를 밝히진 않았다"고 말했다.
ISMS의무 대상 기업인 경우 1년내 인증 신청을 하지 않으면 과태료 3000만원을 물어야 한다. 만약 회사가 ISMS인증대상에 해당되지 않는다고 판단할 경우 의무대상 제외 신청을 하면되지만 여기어때의 경우 의무대상 제외 신청도 아직 하지 않은 상태다.
여기어때는 지난해 숙박 업계 최초로 개인정보보호협회로부터 `보안 e프라이버시` 인증을 받았다고 홍보해왔지만 해커의 흔한 공격도 막아내지 못했다.
◇ 스타트업 "ISMS인증비용보다 과태료 내는 게 더 싸"
스타트업들은 ISMS 인증비용이 너무 높다고 토로한다. 인증을 받는 가격도 가격이지만 운영인력을 갖춰 사후관리를 하는 것도 부담이라는 입장이다.
ISMS인증을 받으려면 정부에 내는 수수료가 1000만원에서 최고 1800만원이다. 인증을 받은 후 사후심사 수수료는 최초 수수료의 50%로 책정돼 있다.
문제는 회사의 상황에 따라 필요한 보안시스템이 무엇인지를 파악한 후 그 솔루션을 갖추는데 비용이 많이 들어간다는 점이다.
작은 기업의 경우 어떤 솔루션이 필요한 지 조차 파악하기 힘든 경우가 많아 대체로 보안업체의 컨설팅을 받는데 이 비용이 최소 2천만원에서 1억원이 넘어가는 경우도 있다.
한 보안업체 관계자는 "여기어때 같은 규모의 회사의 경우 컨설팅 비용은 약 약 4천~5천만원정도 나올 것으로 예상되고 필요한 시스템 구축 비용은 정확한 진단이 있어야 파악할 수 있다"고 말했다.
또 "작은 기업들의 경우에는 ISMS인증을 받지 않으면 내야하는 과태료가 3천만원밖에 안되다 보니 과태료를 내는 것이 경영상 이익으로 생각하는 분위기"라고 덧붙였다.
하지만 미리 안전장치를 해놓지 않으면 더 예상치 못한 큰 비용을 지불해야 하는 경우가 생길 수 있다.
실제로 여기어때의 경우 이번 정보유출 사건으로 매출액의 최고 3%(약7억원)에 달하는 과징금이 부과될 뿐 아니라 정보유출 피해자들의 소송도 예상되는 상황이다.
정보유출 사안의 중대성과 조사협조 여부에 따라 과징금이 경감될 여지가 많지만 고객의 신뢰를 잃은 것은 돈으로 환산할 수 없는 피해다.
다만 ISMS인증에 대한 실효성 문제가 지적되고 있어 개선이 필요하다.
지난 2013년 이 제도가 시행된 이후 비단 비싼 비용 문제 외에도 인증을 할 때만 보안체계를 유지하고 인증 후 제대로 지켜지지 않는 상황에 대한 지적이 있어왔다.
또 일부 인증 심사원에 대한 자질 문제도 도마위에 올랐다.
이에대해 미래부는 27일 양재동 L타워에서 ISMS인증제도 설명회를 열고 앞으로는 기업의 부담을 줄이는 방향으로 ISMS인증제도를 개선해 나갈 것이라고 밝혔다.
미래부 관계자는 "ISMS인증은 개인정보를 다루는 기업들이 침해사고를 최소화하는데 꼭 필요한 제도"라며 "기업의 인증부담을 낮추고 제도의 효과를 높이는데 중점을 두겠다"고 설명했다.
관련뉴스