[일요시사 취재1팀] 김태일 기자 = 최근 급성장을 하며 주목받고 있는 숙박 애플리케이션(앱) 업체들이 잇달아 도마에 오르고 있다. 스마트폰 이용자수가 증가함에 따라 온라인과 오프라인을 결합한 O2O(Online to Offline) 서비스를 선보이며 몸집을 키우고 있지만 각종 정보의 관리감독 소홀 문제가 불거지고 있는 것.
가입자의 개인정보가 유출되는가 하면 성매매 묵인 의혹에 시달리는 업체도 있다. 일부 이용자들은 가장 은밀한 개인 사생활 정보까지 유출이 되는 점에서 O2O 서비스 플랫폼 자체에 문제가 있는 게 아니냐는 불만도 토로하고 있다. 상황이 이렇다 보니 업계 일각에선 숙박 앱 업체의 관리 소홀 관련 등의 부정적인 인식이 자칫 O2O 서비스 업체 전반에 미치지 않을까 우려하는 분위기다.
사건사고 연속
O2O란 온라인(Online) to 오프라인(Offline)의 약자로 온라인과 오프라인의 융합을 통해 언제 어디서나 상거래를 할 수 있는 서비스를 말한다. PC서도 이용할 수 있으며 최근 스마트폰 확산에 따라 모바일 O2O 서비스가 급부상하고 있다. 대표적인 분야는 숙박을 비롯해 배달, 콜택시, 부동산임대업 등이다.
‘여기어때’로 잘 알려진 국내 종합숙박 O2O 기업 위드이노베이션이 해킹으로 일부 고객의 정보가 유출됐다. 위드이노베이션은 지난 24일, 공지를 통해 해킹사실을 공지하며 현재 방송통신위원회와 경찰청 등 관계당국에 신고하고 긴밀하게 협조하고 있다고 전했다.
중국 IP를 통한 해커는 여기어때 데이터베이스에 침입해 4000여건의 고객정보를 빼낸 것으로 전해진다. 유출된 정보는 이메일, 연락처, 예약자 이름, 숙소 이용 내역 등이다. 해당 해커는 고객 정보를 활용해 해당 고객들에게 ‘O월O일 OO(숙박업소명)서 황홀하게 보내셨나요?’ 등의 스팸문자를 발송했다. 일부 고객에게는 모텔 예약 내역을 언급하며 금전을 요구하기도 했다.
위드이노베이션에 따르면 이번 사건을 처음 인지한 것은 CS에 고객들의 항의전화가 이어지면서부터다. 여기어때 고객들에게 성적 희롱 문자가 발송된 것. 위드이노베이션은 수상함을 감지하고 바로 방통위와 KISA, 경찰 등에 신고했고 조사결과 해킹으로 인한 고객정보 유출임을 확인했다.
현재까지 파악된 스팸문자 피해는 약 4000여건이지만 여기어때의 전체 회원수가 300만∼400만명 이상이라는 점에서 추가 피해가 늘어날 가능성도 있다. 앱에 회원으로 가입만 해두고 실제 예약을 진행하지 않은 고객들의 정보가 유출됐을 수 있기 때문이다.
위드이노베이션 측은 “고객 정보 유출에 대해 진심으로 사과드린다”며 “개인 정보 유출 사실 확인 즉시 경찰·한국인터넷진흥원·방송통신위원회에 신고해 현재 경찰이 수사 중”이라고 말했다. 또 “이번 일을 계기로 개인 정보 보호에 더욱 만전을 기하겠다”고 강조했다.
그러나 여기어때 이용자들은 현재 가장 민감한 사생활 정보가 노출된 데다 개인 정보를 이용해 성적 수치심을 유발하는 문자까지 발송됐다는 점에서 불안감을 토로하고 있다. 일부 이용자들은 여기어때 측이 업계 최초로 E프라이버시 인증마크를 획득하는 등 보안을 강화했다는 것이 사실인지 의심스럽다며 날선 비판을 서슴지 않고 있다.
해킹 사건의 피해자들을 위한 포털사이트 카페도 개설됐다. 개인 정보 유출 관련 소송을 제기할 수 있다는 관측도 나오고 있다. 이번 해킹이 초보적 수준이라 대비만 제대로 했으면 충분히 막을 수 있었다는 분석이 나오기 때문이다.
현재 보안전문가들은 ‘3·7 China Attack’ 이후로 중국 해커조직의 공격이 산발적으로 이뤄지고 있다면서 이번 여기어때 해킹도 같은 맥락서 진행된 것이 아닌지 의구심을 나타내고 있다. 중국 IP가 발견된 것 외에도 중국 해커들이 한국 웹사이트 공격을 독려하며 제시한 SQL 인젝션 공격이 활용된 것으로 추정되고 있기 때문이다.
인증마크 획득? 초보적 해킹에 속수무책
알면서 모른척? 성매매 묵인 의혹도 제기
물론 이와 별개로 이러한 분위기에 편승해 수익을 얻으려는 또 다른 중국 해커들이나 북한 해커조직의 소행일 가능성도 배제할 수는 없다. 보안업계 한 관계자는 “기본적인 보안 패치 등만 했어도 해킹 가능성을 낮출 수 있었던 만큼 고객 정보 등의 관리 소홀로 비판을 면키 어려울 듯 보인다”고 말했다.
이에 대해 위드이노베이션 측은 “여러 가지 공격 방식 중 SQL 인젝션 침입 흔적이 발견됐을 뿐 SQL 인젝션 공격으로 DB가 뚫렸다고 단정할 수 없으며 어떤 방식으로 해킹됐는지도 수사 중”이라며 해킹이 회사의 고객 관리 소홀로 인해 발생했다는 확대해석을 경계했다.
뿐만 아니라 여기어때와 함께 숙박앱 시장을 양분하고 있는 야놀자는 최근 성매매 묵인 의혹을 받고 있다. 관련업계에 따르면 최근 야놀자의 오프라인 가맹 브랜드 ‘호텔야자’ 일부 지점이 유흥업소들과 연계, 성매매 장소로 사용되고 있다는 논란에 휩싸였다.
유흥업소를 찾은 고객이 술값을 지불하면서 성매매 대금을 내면 해당 업소 종업원은 같은 건물이나 인근에 있는 호텔야자로 손님을 안내했고 야놀자가 이를 묵인했다는 것.
지난달 22일 야놀자 측은 일부 가맹점의 불법 행위 의혹에 유감을 표시하며 보도가 사실로 확인되면 이에 대한 책임을 묻겠다고 밝혔다.
이날 야놀자는 입장자료를 통해 “불법적인 상황이 발생하지 않도록 꾸준한 가맹점 교육과 계약상 엄중한 처벌조항을 통해 사전에 방지하고자 노력했다”며 “하지만 이번 이슈를 통해 미흡한 부분을 다시 한 번 정비해 불법 행위와 관련된 더욱 강력한 방법을 찾겠다”고 했다.
구체적인 방법으로는 빅데이터 기술을 통한 감지 시스템 도입, 상권 분석을 통한 유흥업소 입점 우려 상권 배제, 성매매 고발 시스템 도입 등이다. 야놀자 측은 “성매매 장소 제공에 알고 있거나 알았음에도 막지 않았다는 것은 사실이 아니다”며 “야놀자의 철학과 정면 배치된다”고 전했다.
야놀자 관계자는 “2005년 설립돼 러브호텔에 한정된 국내 숙박시장의 뿌리깊은 관행을 없애기 위해 노력해왔다”며 “이번 불미스러운 일에 연루돼 도의적인 책임을 통감하고 있다”고 다시 한 번 강조했다.
검증이 필요
최근 모바일 시대에 접어들며 O2O 플랫폼을 이용한 업체들이 증가하며 다양한 분야에서 서비스를 제공하고 있다. 온라인서 오프라인의 일을 처리할 수 있어 개인 정보의 활용범위는 더욱 넓어졌다. 업계 일각에선 이번 일을 계기로 O2O 서비스의 특성상 개인 정보의 활용 범위도 그만큼 넓어지고 있어 검증이 필요하다고 지적하고 있다.
업계 한 관계자는 “O2O 서비스의 특성상 개인정보가 중요하고, 불법 관련 문제가 기업 신뢰도에 중요한 역할을 하고 있다”며 “저마다 보안 등 문제에 가장 많은 신경을 쓰고 있지만 숙박 앱 업체 문제로 인해 자칫 O2O 서비스 업체 전반에 비슷한 문제가 만연한 것처럼 여겨져 이미지에 타격을 입는 건 아닌지 우려스럽다”고 말했다.
