숙박앱 ‘여기어때’ 해킹 사태로 민감한 사생활 정보가 기록으로 남는 서비스에 대한 사용자들의 불안감이 커지고 있다.
기존 해킹 사태는 사용자들이 비밀번호를 변경하거나 해당 서비스를 탈퇴하는 것으로 추가 피해를 예방할 수 있었다. 하지만 여기어때의 경우 사용자들이 무방비로 협박성 문자를 받는 등 2차 피해로 이어지고 있다.
이에 정부 보안인증을 받은 서비스라 하더라도 외부에 공개될 경우 피해가 커지는 서비스 이용이 크게 위축될 것으로 예상된다. 특히 이번에 문제가 된 숙박앱 뿐 아니라 데이팅 서비스나 익명앱 등에도 파장이 있을 것이란 전망까지 나오고 있다.
■여기어때 해킹 피해, ‘애슐리 매디슨’ 닮은꼴
위드이노베이션의 종합 숙박앱 여기어때 해킹 사고는 지난 2015년 발생한 불륜 사이트 ‘애슐리 매디슨’과 닮은꼴이다.
당시 애슐리 매디슨은 3천200만 명이 넘는 사용자들의 계정이 유출돼 큰 파문을 일으켰다. 애슐리 매디슨 해킹 사태는 사용자들의 이름과 주소, 전화번호, 이메일주소, 로그인 정보 등이 담긴 9.7GB 파일이 인터넷에 공개되면서 부작용이 적지 않았다. 특히 해커의 강요, 협박, 갈취, 사기 등으로 인해 2차 피해로 한바탕 홍역을 치뤘다.
이로 인해 애슐리 매디슨를 운영하는 아비드 라이프 미디어의 최고경영자 노엘 비더만이 사임했으며, 기업공개(IPO) 일정에도 큰 차질이 빚어지기도 했다.
여기어때 역시 중국 IP를 통한 해킹 사태로 약 4천 명에 달하는 고객들이 문자 협박을 받았다. 해커는 “인증완료, OOO님, X은 잘 하셨나요”와 같은 협박성 문자를 발송해 여기어때 사용자들을 곤경에 빠뜨렸다.
이에 회사 측은 공식 사과를 한 상태며, 방송통신위원회, 한국인터넷진흥원, 경찰이 꾸린 긴급대응 TF팀과 침해 예상 경로점검과 보안장치 추가 도입 등 보안통제 대책을 강화한 상태다.
여기어때 해킹 피해로 고객 정보가 얼마나 유출됐는지는 아직 발표되지 않았다. 다만 여기어때 사용자가 300만을 넘긴 만큼 이번에 문자 피해를 당한 4천명보다 많은 이용자의 정보가 유출됐을 것으로 추정되고 있다. 추가 피해도 우려된다.
■“국가 공인 인증도 100% 안전 장담 못해…”
개인정보가 유출된 여기어때 회원들에게 이미 한차례 협박성 문자가 발송됐고, 추가적인 협박도 가능한 상황이지만 여기어때 피해자들이 대응할 수 있는 방법은 없다.
보안 전문가는 앞으로도 여기어때와 같은 해킹 피해가 다른 O2O(Online to Offline)서비스에서도 발생할 수 있다고 경고하고 있다. 또 사용자들이 미리 피해를 예방하는 일도 현실적으로 불가능하다는 입장이다.
‘e프라이버시’ 인증마크나, ‘ISMS'(정보보호 관리체계) 인증과 같은 국가 공인 인증기관으로부터 보안성을 검증 받았다 하더라도 언제든지 해킹에 보안이 뚫릴 수 있기 때문이다.
결국 정보 유출 시 피해가 우려되는 서비스는 아예 이용하지 않거나, 기능을 제한적으로 사용할 필요가 있다. 회원가입, 예약, 결제 등의 서비스를 이용하지 않으면 개인정보 유출 피해를 최소화할 수 있다.
여기어때와 같은 숙박앱의 경우는 숙박 정보만 앱을 통해 검색한 뒤, 전화로 예약하거나 바로 현장 방문하는 것이 가장 안전한 사용법이다.
관련기사
- 여기어때, 해킹 피해자 보상은?2017.03.27
- 여기어때 노린 해킹, 어떤 수법 썼나 보니2017.03.27
- 여기어때 예약 고객, 해킹 피해로 곤욕2017.03.27
- 비즈니스에 도입된 스타트업 AI 기술 살펴보니2017.03.27
한국인터넷진흥원 신대규 사이버침해대응본부 단장은 “여러 가지 공인인증 제도가 운영되고 있지만 공신력에 대한 이견도 많고, 이를 이용자들이 확인하기도 쉽지 않다”며 “정부도 매년 주요 온라인 서비스에 대한 보안성을 점검하지만, O2O 서비스가 많이 생겨난 반면 점검 인력은 한계가 있어 모든 서비스를 들여다보기 힘든 상황”이라고 말했다.
또 “여기어때 해킹 피해는 물건을 사고파는 사이트들의 기존 해킹과 영향력이 다르다”면서 “추가 협박이 가능한 상황이고, 피해자들이 마땅히 대처할 방법도 없어 다른 해킹과 달리 여기어때는 문제가 심각한 상태”라고 덧붙였다.