[디지털데일리 이대호기자] 숙박O2O서비스 ‘여기어때’를 운영 중인 위드이노베이션(대표 심명섭)이 고객정보 해킹으로 몸살을 앓고 있다. 해커가 고객들한테 문자메시지까지 무단 전송했다는 사실이 알려지면서 사태가 일파만파 커졌다. 회사 측은 91만명 개인정보가 유출됐다고 밝혔다. 이후 여기어때 해킹이 주요 포털 실시간급상승검색어 1위에 오르는 등 국민적 관심사가 되는 분위기다.

2일 관련 업계에 따르면 여기어때 해킹 이슈 이후 제휴점 탈퇴 움직임이 감지된다. 영업 일선에선 “제휴점 15% 가량이 탈퇴했다”는 얘기가 나온다. 이에 대해 여기어때 측은 “광고비를 납부하고 남아있는 점주도 있고 아직 변화가 있는 것은 아니다”라고 답했다.

일선 제휴점은 이번 사태를 심각하게 받아들이는 분위기다. 서울 강동구의 한 모텔 제휴점주는 “해킹사건 이후 여기어때 예약방문이 거의 없다”며 “계약을 끊을지도 고민 중”이라고 속내를 밝혔다.

문제는 이용자들이 실제 모텔 예약에 활용하는 앱에선 몇 단계 화면 터치를 거쳐야 사과문을 볼 수 있다는 것이다. 해킹 이슈를 미리 인지한 고객이 아닌 이상 일부러 화면 하단의 더보기 메뉴에 들어가 공지사항을 재차 터치하는 사례는 많지 않다.

때문에 ‘실제 고객에게 제대로 사과하려면 앱 첫 화면부터 사과문을 띄워야 하는 것 아니냐’라는 비판이 제기된다. 일리 있는 지적이다.

이에 대해 여기어때 측은 “관계기관에서 어떻게 공지를 하라고 가이드를 준 부분은 없다”면서 “피해를 입은 91만명에 1대1 개별통보를 하라고 해서 확실하게 알 수 있도록 푸시알림을 보냈다”고 해명했다.

그러나 푸시알림도 조심스러운 부분이 있다. 모텔 앱은 사생활과 밀접하게 연관돼 있다. 해커가 고객들에게 문자메시지가 보낸 사실이 알려지자 크게 논란이 불거진 것도 이 때문이다. 여기어때가 개인에게 1대1 푸시알림을 보낼 경우 역시 사생활 침해 우려가 있다는 목소리도 있다.

한편 이번 해킹 사태는 ‘여기어때’가 이슈를 키웠다는 비판이 제기된다. 회사 측이 해커 경유지 중 하나인 중국 IP를 강조, 사드 보복 해킹에 무게를 두면서 피해자인 양 ‘물타기를 노렸다’는 지적 때문이다. 관계기관 취재를 거쳐 곧바로 사드 보복 해킹이 아니라는 보도가 이어지자 여기어때가 난처한 상황에 처하기도 했다.

그동안 여기어때는 ‘e프라이버시’ 보안인증 획득을 강조해왔으나 관련 업계에선 이렇다 할 공신력을 확보한 인증이 아니라고 말하고 있다. 보통 업계에서 말하는 보안인증으론 ‘ISMS’가 있다. ISMS 인증을 획득하고 관련 보안 인력을 유지하려면 한해 수억에서 수십억원이 든다는 게 업계 전언이다.

여기어때 측은 해킹 사태와 관련해 “2016년까지는 ISMS 의무화 대상이 아니었다. 2016년 기준으로 2017년에 취득 조건이 충족됐는데 (인증 획득 전에) 해킹이 터졌다”고 말했다.

이와 관련해 업계에선 아쉬운 목소기가 나오고 있다. 사생활과 밀접하게 연관된 서비스라면 좀 더 해킹 대처에 신경을 쓰거나 ISMS 의무화 대상이 아니더라도 인증 획득을 고민했어야 한다는 비판이 제기된다. 업계 관계자는 “대규모 마케팅 비용에서 일부만 빼서 보안에 신경을 썼더라면 하는 아쉬움이 있다”고 전했다.

<이대호 기자>ldhdd@ddaily.co.kr