고객 정보를 해킹당한 숙박앱 여기어때에 고강도 제재가 가해졌다.
방송통신위원회(위원장 이효성, 이하 방통위)는 8일 여기어때를 운영하는 위드이노베이션에 과징금 3억100만원, 과태료 2500만원를 부과했다. 책임자 징계 권고, 위반행위 중지 및 재발 방지 대책 수립, 시정명령 처분 사실 공표 등 행정 처분도 내렸다. 책임자 징계 권고 처분은 지난해 정보통신망법이 개정된 이후 최초로 적용됐다. 이에 따라 위드이노베이션은 대표자 및 관련 임원에 대해 징계를 권고한 뒤 결과를 방통위에 전달해야 한다.
방통위에 따르면 위드이노베이션은 접근통제, 접속기록 보존, 암호화, 유효 기간제 등 개인정보 보호 규정 다수를 위반했다. 개인정보 취급자 컴퓨터를 외부 인터넷망과 업무망으로 분리하지 않았다. 개인정보처리시스템에 접속한 IP를 재분석하는 등 불법 개인정보 유출 시도를 탐지하는 데도 허점을 보였다. 해킹을 당한 마케팅센터 웹페이지에 대해 취약점 점검에도 소홀했다.
고객 상담사 등에게 과도한 접근 권한을 부여한 것도 적발됐다. 인사이동시 취급자 접근 권한을 지체 없이 변경하지 않는 등 개인정보 접근 통제 조치가 전반적으로 부실했다고 방통위는 판단했다.
방통위는 지난 3월 23일부터 과학기술정보통신부·경찰청·한국인터넷진흥원 등과 현장 조사를 했다. 조사 결과, 여기어때 마케팅센터 웹페이지 취약점을 노린 'SQL인젝션' 공격이 이뤄졌다. 해커에게 유출된 개인정보는 여기어때 이용자의 숙박 예약 정보 323만9210건과 회원 정보 17만8625건으로 집계됐다. 성적 수치심을 불러일으키는 협박성 문자 메시지도 4817건 발송됐다.
이효성 방통위원장은 “O2O 서비스는 사생활과 관련한 민감한 정보를 수집·이용하는 경우가 많다”며 “마케팅이나 이용자 확보에 기울이는 노력만큼 보안 투자나 개인정보 보호 노력도 병행돼야 한다”고 말했다.
최종희기자 choijh@etnews.com
