위드이노베이션 측은 방송통신위원회∙한국인터넷진흥원(KISA)∙경찰청 등과 공조해 지난 일주일간 피해 규모 등을 집중 조사했다. 해커가 사용자에게 문자메시지를 전송한 수는 지난 3월 23일까지 총 4,000여 건이며 이후 추가 피해는 접수되지 않았다. 현재 합동조사 결과를 기다리고 있는 상황이지만, 여기어때는 고객들의 피해 확산을 막기 위해 이날 해킹과 관련된 전체 공지를 실시했다.
위드이노베이션은 문제가 발견된 시스템 내 취약점을 전문 보안컨설팅 업체와 진단, 즉각 조치하고 데이터베이스(DB)와 네트워크 보안을 강화하는 등 추가 피해를 막기 위해 사고대응대책팀을 가동하고 있다고 전했다.
위드이노베이션 심명섭 대표는 “사용자 신뢰가 근본인 숙박O2O 서비스에서 이런 문제가 발생한 점에 대해 진심으로 사죄드린다. 회사의 모든 자원을 투입해 시스템 보완 및 강력한 보안 인프라를 구축하겠다. 향후 유사사례가 발생하지 않도록 만전을 기할 것이다”고 말했다.
또한 “현재까지 해커들이 고객들에게 전송한 문자메시지의 내용, 구체적 경위 등 정부 합동 조사 결과를 기다리고 있다. 향후 확인되는 고객들의 피해규모 및 유형 등을 분석해 적법한 절차에 따라 신속하게 피해를 보상하기 위한 방안을 마련 중이다”고 덧붙였다.
아울러 위드이노베이션 측은 유사사건 방지 및 고객정보 보호를 위해 5대 보안강화 대책을 도입한다고 밝혔다. 주요 내용은 ’고객정보의 최소 수집 및 최소 사용’과 더불어 ‘수집한 정보의 안전성 극대화’라는 원칙 아래 수립됐다.
1. 회원정보와 숙박 예약정보 분리 및 암호화 관리
2. 예약 고객정보 제휴점 전송 시 닉네임과 가상번호로 대체
3. ’개인정보보호 전담임원(CPO)’ 영입 및 고객정보보호팀 운영 강화
4. 외부 전문기관과 공조를 통한 침해 예방 및 사고대응 모니터링 시스템 구축
5. 국내외 정보보호인증 및 최신 보안위협에 대응 가능한 신규 보안 솔루션 도입
여기어때는 앞으로 회원정보와 숙박 예약정보(숙박업소, 일시 등) DB를 완전 분리하고 예약 시 고객이 직접 입력하는 정보(실명, 전화번호)도 닉네임과 가상번호로 대체한다고 밝혔다. 또한 휴대폰번호 등 연락처를 일절 사용하지 않는다는 방침이다. editor@itworld.co.kr