실시간 뉴스



[진단]여기어때 집단소송…O2O, 보안대책 없나


KISA 긴급 점검 중, 정부 차원 모바일 앱 보안 지원 등 목소리도

[아이뉴스24 오지영기자] '여기어때' 해킹 관련 피해가 결국 집단 소송으로까지 번졌다.

이 탓에 O2O(온·오프라인 연계) 서비스 기업들의 보안 문제에 대한 정부 차원의 관리감독 및 지원책 마련이 시급하다는 목소리도 나오고 있다.

29일 여해법률사무소 김평호 변호사는 여기어때 개인 정보 유출 피해자들의 소송 신청을 모아 서울중앙지방법원에 1인당 100만원씩의 손해배상 소송을 제기했다고 밝혔다.

이번 소송 건은 지난 26일까지 신청 받은 것이 대상으로, 이날 부터 2차 소송 참여자를 모집한다는 계획이다. 이에 따라 여기어때 해킹에 따른 집단소송이 확대될 조짐이다. 

이와 관련 김평호 변호사는 "과거에는 기업 측 과실 및 개인정보유출에 따른 피해 등을 피해자 개인이 입증해야 했으나 지금은 정보 유출 사실만 있으면 법원이 손해배상을 인정한다"며 "빠른 시간내 실제 손해 배상을 받을 수 있도록 노력하겠다"고 말했다.

이외 현재 법무법인 한누리도 온라인 소송닷컴을 통해 내달 7일까지 피해자 참여 신청을 받고 있고, 법률사무소 제하도 같은 소송을 준비하고 있어 집단소송은 더욱 확대될 조짐이다.

이에 대해 여기어때 측은 "소장이 접수된 사실을 아직 확인하지 못했다"며 "현재 조사가 진행 중으로, 보상안 마련 등을 검토 중에 있다"고 밝혔다.

◆집단소송 확전양상 …O2O 보안 논란 커지나

여기어때는 지난 3월 해킹으로 예약 정보 91만 건(휴대폰 기준), 회원정보 7만 8천여 건(이메일 기준) 등 총 99만여 건의 개인 정보가 유출되는 사고가 발생했다.

지난달 26일 방송통신위원회와 미래창조과학부는 민관합동조사단을 통해 이번 해킹 사태에 대한 조사 결과를 발표하기도 했다. 조사에 따르면 해커는 여기어때의 마케팅센터 웹페이지에 SQL 인젝션 공격을 가해 관리자 세션 값을 탈취, 우회 접속을 통해 회원 정보를 유출한 것으로 나타났다.

이에 따라 여기어때를 운영하는 위드이노베이션 측은 사고 대응 TF를 가동, 회원정보와 숙박 예약정보를 분리 및 암호화하는 등 5대 보안 강화 대책을 도입하며 사태 수습에 나선 상태.

개인 정보를 100% 암호화, 보안을 강화하는 동시에 신규 보안 솔루션을 도입해 외부의 서버 공격을 원천 차단하고, 보안 전문기관과 공조를 통해 해킹 예방 모니터링 시스템 구축 등 계획도 밝혔다.

그러나 피해자들의 집단 소송 및 정부 제재 등 후폭풍은 만만찮을 조짐이다.

실제로 방통위는 이르면 내달 말께 이번 해킹 사태 등에 대한 과징금 부과 등 행정 처분을 결정한다는 방침이다. 이와 관련 방통위는 현재 법률 자문을 받고 있는 상태다.

방통위 관계자는 "자문 결과가 나오면 위드이노베이션 측에 사전 통지 후 사업자 의견을 받고 위원회에 안건을 상정할 예정"이라며 "빠르면 6월 말 의결 결과가 나올 것"이라고 말했다.

◆영세 O2O 대개 자체 보안, ISMS 인증 일부 그쳐

여기어때 등과 같은 O2O 업체가 규모가 크지 않고 스타트업 등 초기 단계가 많다는 점에서 이번 해킹 사태를 놓고 취약한 보안문제, 스타트업 보안에 대한 정부 지원 등 다양한 목소리도 나오고 있다.

당장 스타트업 업계는 정부 차원의 대책 마련이 필요하다고 지적한다. 규모가 작고 대부분의 자본을 마케팅과 광고비에 투자하는 스타트업 입장에서 보안에 큰 비용과 시간을 투자하기 쉽지 않다는 이유에서다.

현재 O2O 서비스를 제공 중인 기업들 상당수가 자체적인 보안 시스템으로 관리하고 있는 실정인 것.

실제로 숙박 O2O기업 중 정보보호관리체계(ISMS) 인증을 받은 기업은 '야놀자' 한 곳이다. ISMS는 미래부가 관리하고 한국인터넷진흥원(KISA)과 금융보안원(PSI) 등을 통해 일정 수준의 보안을 갖춰야 인증 받을 수 있다.

미래부는 연간 매출 또는 세입이 1천500억 원 이상이거나 정보통신서비스 부문 전년도 매출액이 100억 원 이상, 또는 3개월간 일일 평균 이용자 수 100만 명 이상 기업은 ISMS 의무대상자로 지정하고 있다. 이외에 민감한 정보를 다루는 기업들을 대상으로 자발적 신청도 받고 있다.

야놀자는 지난해 ISMS 인증을 획득한 데 이어 지난달 매년 받아야 하는 사후 심사를 통과했다. 여기어때 역시 지난해 매출 246억 원을 기록하며 올해 ISMS 인증의 의무대상자가 됐다. 다만 1년 이내 신청을 하면 돼 이번 해킹 사태 때는 신청 전이었다. 현재 올해 내 획득을 목표로 ISMS 인증 취득에 나선 상황이다.

숙박 O2O기업 외 대표 O2O기업들 중에선 우아한형제들의 '배달의민족'이 지난 2월 ISMS 인증을 받았다.

문제는 이 같은 ISMS 인증의 경우 비용 부담 등 이유로 대상자여도 차라리 과태료를 부담하는 경우가 많다는 점이다. 여기에 낮은 보안 의식으로 제대로 된 보안 투자가 이뤄지지 않아 제2, 제3의 해킹 사태가 발생할 우려가 있다는 점이다.

ISMS 인증 비용은 업체마다 다르지만, 최초 인증 비용부터 매년 재심사까지 드는 수수료와 전담 인력 운영 및 유지 비용까지 수억 원이 소요되는 것으로 알려졌다. 규모가 작은 업체들에겐 부담이 클 수밖에 없다.

복잡한 절차와 소요기간도 부담이다. 정보보호정책 수립, 운영보안 등 104개 기준에 따른 심사 절차를 거쳐야 하고, 매년 사후 심사를 통해 재인증을 받아야 한다. 신청부터 인증까지는 약 5개월에서 7개월, 신청에만 최소 2개월의 긴간이 소요된다. 또 인증 유지기간은 3년이다.

업계 관계자는 "(ISMS 등 보안 인증을) 스타트업에 맞게 필요 항목을 줄이거나 비용을 낮추는 등 조정을 할 필요가 있다"며 "지금까지는 정부가 큰 기업 위주로 보안 문제를 신경 써왔는데, 스타트업에도 지원 강화를 통해 보안을 강화해야 한다는 움직임이 있다"고 밝혔다.

◆미래부-KISA 긴급 점검…O2O 대책 나올까

현재 한국인터넷진흥원(KISA)은 보호나라 웹사이트를 통해 중소기업을 대상으로 보안 취약점 점검 및 홈페이지 방화벽 개발 도구 배포 등을 제공하고 있다.

또 미래부는 어기어때 해킹 사태 이후 KISA와 함께 민감한 정보를 다루는 O2O서비스 기업 200여 곳을 대상으로 점검 신청을 받아 보안취약점 점검을 진행중이다.

KISA 측은 지난 4월 13일부터 현재까지 신청한 기업 15곳 중 10곳의 보안 점검을 완료했으며, 올 연 말까지 계속해서 기업들에 신청을 독려하고 점검을 진행할 예정이다.

다만 O2O 등 모바일 애플리케이션 보안까지 정부 차원의 지원책이 마련될지는 미지수. 현재 KISA는 긴급 조치 차원에서 O2O기업들의 앱 점검을 실시하고 있지만 상시적 지원은 중소기업 대상 홈페이지 점검까지만 가능하다.

O2O기업들 대부분이 앱을 통한 서비스를 제공하고 있어 모바일 앱 보안이 중요하지만, 정부가 모든 스타트업의 보안 관련 비용을 지원하기는 어려운 것도 현실이다. 자칫하면 보안을 이유로 스타트업에 또다른 규제가 될 수 있다는 시각도 있다.

KISA 관계자는 "(모바일 앱 보안 관련해서는) 정보보호 시장이 형성돼있고, 상용 서비스도 있어 전부 지원 하기는 어려운 상황"이라며 "올해 말까지 일단 점검을 지원하고 내년 이후에 대해서는 검토를 해볼 계획"이라고 밝혔다.

방통위 역시 내달 중 개인 정보 보호를 위한 교육과 기술적 보호조치 준수 여부 등에 대한 일제 점검에 나선다는 방침이나 아직 구체적인 일정 등은 확정하지 못한 상태다.

방통위 관계자는 "대상 선정부터, 어디까지 점검 해야 할지 고민 중"이라며 "여기어때 건도 결과가 나와야 하는만큼 이를 감안, 내달 중 계획을 마련할 예정"이라고 말했다.

기업 스스로 보안을 강화하는 노력이 필요하다는 자성의 목소리도 나온다. 지난해 스타트업들이 모여 만든 코리아스타트업포럼에서는 개인정보 보호 관련 세미나를 진행하고 있기도 하다.

업계 관계자는 "앱 사용자가 많아지면서 다루는 정보도 많아지는데 매년 이런 해킹 사건이 발생한다"며 "민감한 정보들을 다루는만큼 최소한의 정보는 스스로 지키려는 노력을 해야 한다"고 말했다.

오지영기자 comeon0114@inews24.com






alert

댓글 쓰기 제목 [진단]여기어때 집단소송…O2O, 보안대책 없나

댓글-

첫 번째 댓글을 작성해 보세요.

로딩중
포토뉴스