여기어때, 91만 개인정보 유출 확인

회원-숙박 정보 분리하기로…재발방지 약속

인터넷입력 :2017/03/30 17:18

여기어때가 최근 발생한 이용자 정보침해 사건과 관련해 정확한 피해건수를 공개하고, 개인정보 보안 강화 정책을 발표했다.

여기어때를 운영하는 위드이노베이션은 방송통신위원회·한국인터넷진흥원(KISA)·경찰청 등과 공조해 지난 일주일간 피해 규모 등을 집중 조사한 결과 이용자 91만명의 이름, 휴대전화번호, 숙박 이용정보 323만건이 해커에 의해 침해된 것으로 확인됐다고 30일 밝혔다.

해커가 이용자에게 문자메시지를 전송한 수는 지난 23일까지 총 4천여 건이며 이후 추가 피해는 접수되지 않았다. 회사는 현재 합동조사 결과를 기다리고 있는 상황이다.

여기어때는 이용자들의 피해 확산을 막기 위해 이날 해킹과 관련된 전체 공지를 실시했다. 또 문제점이 발견된 시스템 내 취약점을 전문 보안 컨설팅 업체와 진단, 즉각 조치하고 데이터베이스(DB)와 네트워크 보안을 강화하는 등 추가 피해를 막기 위해 사고대응 태스크포스(TF)를 가동 중이다.

또 현재까지 해커들이 이용자에게 전송한 문자메시지의 내용, 구체적 경위 등 정부 합동 조사 결과를 기다리고 있다. 회사는 향후 확인되는 이용자들의 피해규모 및 유형 등을 분석해 적법 절차에 따라 신속하게 피해를 보상 방안을 마련한다는 입장이다.

여기어때 5대 보안강화정책.

위드이노베이션은 유사사건 방지 및 이용자 정보 보호를 위해 5대 보안강화 대책을 도입한다고 밝혔다. 주요 내용은 이용자 정보의 최소 수집·사용과 더불어 수집한 정보의 안전성 극대화라는 원칙 아래 수립됐다.

여기어때는 앞으로 회원정보와 숙박 예약정보 DB를 완전 분리한다. 또한 예약 시 고객이 직접 입력하는 정보인 실명과 전화번호도 닉네임과 가상번호로 대체한다. 휴대폰번호 등 연락처를 일절 사용하지 않는다는 방침이다. 이용자정보를 악용할 수 없도록 원천 소스를 없애는 작업이다.

또한 정보보호 전문가를 영입해 전담팀을 구성하고 IT인프라 보안 강화를 위해 정보 보호 아키텍쳐 및 운영체계를 대형 인터넷 기업 수준으로 강화한다. 대고객 서비스의 경우 기획·개발·운영 시 체계적 시스템 하에 보안성을 검토한다.

관련기사

아울러 서비스·네트워크·DB 등 인프라에 대한 시스템을 고도화하고 최신 보안 위협 대응을 위한 신규 보안 솔루션을 적극 도입한다. 이 밖에 ISMS 등 정보 보안 인증 취득에도 나선다. 이용자 정보 접속 기록, 외부 침해 시도에 대한 모니터링을 강화하는 한편 이용자 정보 유출 대응력 확보를 위한 정기 침해사고 대응 훈련도 도입한다.

심명섭 대표는 "사용자 신뢰가 근본인 숙박 O2O 서비스에서 이런 문제가 발생한 점에 대해 진심으로 사죄드린다"며 "회사의 모든 자원을 투입해 시스템 보완 및 강력한 보안 인프라를 구축하겠다. 향후 유사 사례가 발생하지 않도록 만전을 기할 것”이라고 약속했다.

심명섭 여기어때 대표 사과문 전문.