방송통신위원회, 한국인터넷진흥원(KISA), 경찰 등은 이번 여기어때 해킹 사건을 수사하며 피해 규모 등을 조사했다. 해커가 사용자에게 문자메시지를 전송한 수는 지난 23일까지 총 4000여건이며 이후 추가 피해는 접수되지 않았다.

위드이노베이션은 문제점이 발견된 시스템 내 취약점을 전문 보안컨설팅 업체와 진단, 즉각 조치하고 데이터베이스(DB)와 네트워크 보안을 강화하는 등 추가 피해를 막기 위해 사고대응 태스크포스(TF)를 가동하고 있다.

심명섭 대표는 “사용자 신뢰가 근본인 숙박O2O 서비스에서 이러한 문제가 발생한 점에 대해 진심으로 사죄드린다”며 “회사의 모든 자원을 투입해 시스템 보완 및 강력한 보안 인프라를 구축하고, 향후 유사사례가 발생하지 않도록 만전을 기할 것”이라고 강조했다.

또한 “현재까지 해커들이 고객들에게 전송한 문자메시지의 내용, 구체적 경위 등 정부 합동 조사 결과를 기다리고 있다”며 “향후 확인되는 고객들의 피해규모 및 유형 등을 분석해 적법한 절차에 따라 신속하게 피해를 보상하기 위한 방안을 마련 중”이라고 덧붙였다.

아울러, 위드이노베이션은 유사사건 방지 및 고객정보 보호를 위해 5대 보안강화 대책을 도입키로 했다.

여기어때는 앞으로 회원정보와 숙박 예약정보(숙박업소, 일시 등) 데이터베이스(DB)를 완전 분리한다. 예약 때 고객이 직접 입력하는 정보(실명, 전화번호)도 닉네임과 가상번호로 대체한다. 휴대폰번호 등 연락처를 일절 사용하지 않는다는 방침이다.

또한 정보보호 전문가를 영입해 전담팀을 구성하고 IT인프라 보안강화를 위해 정보보호 아키텍쳐 및 운영체계를 대형 인터넷 기업 수준으로 강화키로 했다.

대고객 서비스의 경우 기획, 개발, 운영 때 체계적 시스템 하에 보안성을 검토한다. 서비스, 네트워크, DB 등 인프라에 대한 시스템을 고도화하고 최신 보안 위협 대응을 위한 신규 보안 솔루션도 적극 도입할 예정이다. ISMS 등 정보보안인증도 취득할 예정이다. 이 외에도 모니터링 강화와 정기 침해사고 대응 훈련을 실시키로 했다.

다음은 심명섭 위드이노베이션 대표이사 사과문 전문.

고객님께 진심으로 사과드립니다.
여기어때를 아껴주신 고객께 심려 끼쳐 드린 점, 머리 숙여 사과드립니다.

2014년 여기어때 서비스를 시작한 이래 수많은 시행착오를 겪으면서, 숙박업계의 낡은 관행을 타파하고 고객만족과 숙박산업 혁신이라는 목표 아래 불철주야 달려왔습니다. 그리고 이러한 노력을 고객들께서 조금씩 알아봐주시는 것에 감사한 마음으로 더욱 잘해보고자 하였습니다. 그러나 성장에 심취해 세심히 살피지 못하고 해킹이라는 불미스러운 사태가 발생한 것에 대해 너무나 부끄럽고 죄송한 심정입니다.

사건발생 직후 방통위와 경찰청, KISA 등 정부주요 부처와 공조하여 조속한 사건 해결을 위해 최선을 다하고 있습니다.

합동조사 진행 중인 내용을 바탕으로 저희가 파악한 바에 따르면 고객 91만명의 이용자명, 휴대전화번호, 숙박 이용정보 323만건이 침해된 것으로 확인되었습니다. 해당 고객께는 개별로 관련 내용을 알려드리고 있습니다. 고객님의 소중한 정보가 유출된 점에 대해 진심으로 사과 드리며 해킹조직 검거 및 2차 피해를 방지하기 위해 관계기관과 긴밀하게 협조하고 있습니다.

문제점으로 파악된 시스템 내 취약점은 전문보안업체와 진단, 즉각 조치하고 데이터베이스와 네트워크 보안을 강화하였습니다. 추가 피해를 최소화하기 위해 사고대응TF 가동 및 전담 상담센터를 운영 중이며 전구성원이 비상대응체제를 유지하고 있습니다.

이번 사건으로 피해 입은 고객들의 피해회복에도 최선을 다하고 있습니다. 사고경위와 정부 합동조사 결과에 따라 향후 확인되는 고객들의 2차 피해규모 및 유형 등을 파악하여 적법한 절차에 따라 신속하게 피해보상할 수 있는 방안을 마련하겠습니다.

여기어때는 이번 일을 계기로 서비스의 근간부터 바꾸겠습니다. 고객정보 최소 수집 및 최소 사용과 더불어 수집된 정보의 안정성을 극대화한다는 목표로 강력한 보안정책을 시행하겠습니다.

우선 숙소 예약정보를 완전 암호화하고 예약 시 고객께서 입력하는 정보도 닉네임과 가상번호로 대체하여 서비스 내 개인정보가 일체 사용되지 않도록 시스템을 개편하겠습니다. 또한 정보보호 전문가를 영입하고, 개인정보 전담팀을 구성 및 보안 인프라를 대형 인터넷 기업 수준으로 강화하여 고객께서 안심하고 이용할 수 있는 서비스를 만들겠습니다.

여기어때를 믿고 이용해주신 고객님의 상심은 너무나 크실 것으로 생각되어 송구스러운 마음 뿐입니다. 한편으로는 지금의 여기어때를 함께 일구어 온 동료들에게 대표이사로서 사과 드리고 용서를 구합니다.

빠른 성장과 앞만 바라보고, 넓게 보지 못한 저로 인해 지난 3년간 그들의 수고와 노력으로 쌓아온 공든 탑이 무너지는 것 같아 가슴이 아픕니다.

비온 뒤에 땅이 굳어지듯 전구성원이 노력하여 더욱 신뢰할 수 있는 서비스로 거듭나겠습니다. 그리고 고객들께 다시 인정받겠습니다.

어려운 상황 속에서도 여기어때를 격려, 지지해주시는 분들께 깊은 사과와 감사를 드리며 그 믿음에 보답할 것을 약속드립니다. 감사합니다.

위드이노베이션 대표이사 심명섭.

<최민지 기자>cmj@ddaily.co.kr