O2O 보안 비상…기업 보안 천차만별

숙박 O2O(온·오프 연계 서비스) 여기어때에서 고객정보가 수 천건 유출됐다. 이 여파로 O2O업계가 비상이다. 기업마다 천차만별인 보안 수준에 대해 개선 요구 목소리가 커지고 있다.

26일 여기어때 운영사 위드이노베이션에 따르면 해킹으로 여기어때 고객정보 4000여건이 유출됐다. 이름과 연락처는 물론 숙박업소명, 예약일, 체크인 기록까지 모조리 노출돼 공분을 사고 있다.

이용자들은 여느 유출보다 예민하게 반응하고 있다. 김아무개씨(여·29)는 “은행 계좌가 털렸을 때보다 더 불쾌하다”며 “민망한 사생활이 낱낱이 밝혀지면서 수치스러워서 더 이상 여기어때를 이용하고 싶지 않다”고 밝혔다.

관련 업계는 불똥이 튈까봐 걱정하고 있다. 업계 관계자는 “O2O뿐만 아니라 정보기술(IT), 스타트업에까지 영향을 미칠까봐 걱정”이라며 “국내에선 개인정보가 무엇보다 중요하기 때문에 기업 스스로 보안 수준을 높여야한다”고 말했다.

여기어때 보안은 생각보다 쉽게 뚫렸다. 업계는 이번 해킹이 해커들이 기본적으로 쓰는 SQL인젝션 방식을 활용한 것으로 추정했다. 이 방법은 해커들이 자주 쓰는 방법으로 해커가 명령어만 입력하면 웹사이트에서 쉽게 원하는 정보를 탈취할 수 있다.

위드이노베이션은 이번 해킹 사고에 대해 공식 사과하고 수습에 나섰다. 방송통신위원회와 경찰청 등 관계당국에 신고했다. 사고 직후 비상운영체제를 운영하고 추가 피해가 발생하지 않도록 보호조치를 강화했다. 개인정보가 유출된 고객에게는 유출 내용을 개별 통지하고 있다.

반면 배달 O2O 배달의민족을 운영하는 우아한형제들은 올해 2월 한국정보통신진흥협회(KAIT)가 주관하는 정보보호관리체계(ISMS) 인증을 최종 획득했다. O2O업계 중에는 최초였다. 업계에서도 ISMS 획득은 까다롭게 평가하고 있다.

우아한형제들 관계자는 “오프라인 서비스를 온라인으로 가져가다 보면 주소, 전화번호 등 고객 개인정보를 사업자에게 제공한다”며 “한 달에 1000만 건의 주문이 이뤄지는 배달의민족 특성상 수많은 고객정보를 더욱 안전하게 보호하기 위해서 ISMS 인증을 획득했다”고 설명했다.

보안업계 관계자는 “해커들은 보통 관리가 덜 된 회색지대를 노린다”며 “계속 새로운 서비스가 생기기 때문에 정부 가이드라인을 세부적으로 다루긴 쉽지 않으므로 업체 스스로가 더욱 노력해야 한다”고 말했다. 배달의민족의 ISMS 획득에 대해서는 “보안 체계가 있는 게 확실히 보안에 도움이 된다”고 평가했다.

일각에서는 보안 인증이 활성화돼야 한다는 주장이 나오고 있다. 그러기 위해서는 정부나 기관에서 스타트업도 쉽게 인증을 받을 수 있도록 지원해야 한다는 의견도 있다. 특히 개인정보를 활용해서 서비스를 제공하는 기업이라면 개인정보를 최우선에 두고 인증을 위무화해야 한다는 것이다.

이주홍 녹색소비자연대 사무총장은 “배달의민족 ISMS 획득을 본받아 다른 기업에까지 확대돼야 한다”며 “사업자가 장기적인 관점에서 소비자 신뢰를 얻기 위해서는 자율적으로 이런 노력을 해야 한다”고 주장했다.