2015년 캐나다 온라인 데이팅 사이트 '애슐리메디슨'이 해킹됐다. 회원 3700만명의 개인정보가 유출됐고, 배우자나 연인에게 알리겠다는 협박 이메일 등 2차 범죄로 이어졌다. 이용자 2명이 자살하는 사태에 이르렀다. 기업 해킹이었지만 한 개인에게는 인생과 바꿔 놓을 수 있는 사고였다.
최근 발생한 '여기어때'의 해킹 사태는 한국판 애슐리메디슨 사건에 비유된다. 해커는 여기어때 고객의 데이터베이스(DB)를 해킹, 해당 기업에 비트코인을 달라고 협박했다. 나아가 회원에게 숙박 장소와 날짜 등을 명시, 성적 수치심을 불러오는 문자를 발송했다. 인터넷 암시장에는 각종 회원 정보를 판다는 광고가 만연하다. 공격자가 이미 암시장에서 해당 정보를 팔았을 가능성도 짙다. 앞으로 어떤 2차 피해가 발생할지 알 수 없다.
각종 온·오프라인연계(O2O) 사이트는 회원 가입 시 주민등록번호를 받지 않아도 이름, 이메일, 주소, 전화번호 등을 요구한다. 여기에 서비스와 연계된 정보가 함께 묶인다. 숙박, 부동산, 도우미, 세차 등 종류도 다양하다. O2O 기업은 인터넷과 오프라인을 연결한다. 여기서 나온 정보 역시 온라인에서 오프라인까지 연결된다. 이런 정보 유출은 자살을 불러오거나 강력 범죄로 이어질 수 있다.
O2O 서비스 기업은 이런 점을 간과해선 안 된다. 기업 서비스의 핵심 자산인 회원 정보를 보호하지 않고서는 사업의 존립이 어렵다. 기업 해킹이 사람의 인생마저 바꿀 수 있다.
기본적인 보안만 했더라도 당하지 않았을 사고였다. 스타트업이어서 보안에 투자할 여력도, 인력도 없다는 변명은 설득력이 없다. 공중파TV와 버스 광고 등에 쓴 비용을 생각하면 답이 나온다.
정부가 여기어때 사고를 계기로 O2O 보안 점검 서비스에 나선다. 아주 기초적인 건강 검진 서비스다. 영유아 건강 검진처럼 기본 보안 항목을 점검하고 개선책을 제시한다. 정부의 보안 점검 서비스는 '면죄부'가 아니다. 또 다른 보안 사고 발생 시 보안 점검 서비스 이력을 내세우며 어쩔 수 없는 사고라는 변명은 통하지 않는다. 보안은 신뢰다. 고객 신뢰를 쌓는 건 기업 스스로 해야 할 일이다.
김인순 보안 전문기자 insoon@etnews.com