<사진=숙박 어플리케이션 '여기 어때' 사과문 캡쳐>

아마 많은 분들께서O2O라는 말에 대해서 한번쯤은 들어보셨을 거라고 생각됩니다. 온ㆍ오프 연계 서비스를 말하는데 스마트폰이 널리 보급되면서 온라인과 오프라인의 경계선이 흐려지게 되었고요. 이러한 새로운 개념이 우리의 일상생활과 밀접한 관련을 맺게 되었습니다.

온라인은 정보 유통 비용이 저렴하기 때문에 접근성도 좋고 확산 속도도 엄청나게 빠르다는 장점을 갖고 있죠. 하지만 오프라인에서는 실제 소비가 일어나는 고객 접점이라는 점에서 의미를 갖고 있습니다.

제품을 비교하고 체험해보며 소통하는 행위는 아직까지 온라인으로 해결할 수 없는 미지의 영역이기 때문에 많은 사업체들이 온라인의 소비자를 앞세워 오프라인의 문을 두드리는 것이며 이 과정에서 O2O와 같은 온ㆍ오프 연계 서비스가 주목을 받게 된 것이죠. 배달, 숙박, 부동산, 카 쉐어링, 헬스케어 등 분야도 다양합니다.

최근IT핫이슈 중 하나가 바로 숙박어플 O2O 어기어때에서 해킹 사고로 상당수의 고객정보가 유출된 사태인데요. 지난 3월 31일, 네이버 실시간 검색어 1위에 오를 만큼 화제가 되고 있는 이 여파로 O2O 업계가 시끌벅적합니다. 사실 여기어때의 해킹 문제는 그보다 한참 전인 21일 고객센터로 문자피해가 처음 접수 되었고 24일 기사들이 쏟아져 나오기 시작했습니다. 그런데 왜 뒤늦은 31일 그것이 화제가 되어 실시간 검색어에 오른 것일까요? 바로 여기어때의 늦장대응 덕분인데요, 여기어때는 24일 해킹 사실이 알려지고 고객들이 주로 이용하는 앱은 제외하고 홈페이지에만 사과문을 올렸습니다. 뿐만 아니라 뒤늦게 30일에 공지사항 메뉴를 통해 사과문을 올렸고 31일에는 그 사과문을 여기어때 어플의 푸시메시지로 보냈다고 합니다. 그런데.. 그 푸시 알림을 누르니 예약페이지로 연결되는 어처구니 없는 일 덕분에 푸시메세지를 받은 고객들의 검색으로 실검에 등극했다고 볼 수 있겠습니다. 고객들의 피해 확산과 O2O 업계의 혼란을 막기 위해서는 조금 더 적극적인 방향으로 해킹 사실을 알려야 하지 않았을까요?

더욱이 현재, 여기어때의 대처법 또한 많은 사람들의 공분을 사고 있는데요, 해킹 직후 여기어때에서는 해당 피해사실에 대해 성급하게 ‘사드배치에 반발하는 중국 해커의 보복에 무게를 두고 있다’고 밝히며 해킹으로 인한 비난을 피하기 위해 황급하게 사드로 물타기를 한 것이냐는 비판이 있었구요, 또한 여기어때에서 내세운 e-프라이버시 인증 또한 그리 받기 어려운 인증도 아닌데다 이 마저 도 지난 12월 31일로 인증기간이 만료되었다고 하네요. 인증을 받지 않은 채 인증마크를 3개월간 무단으로 사용하다 해킹 이후 이슈가 되니 슬그머니 인증마크를 내렸다고 하니.. 이번 해킹에 대해선 여기어때는 이용자들의 비난을 면할 방도가 없어 보입니다.

운영사 위드이노베이션 대표가 올린 사과문을 보면 여기어때 고객 91만 명의 사용자명, 휴대전화번호, 숙박 이용정보 323만 건이 해커에 의해 유출된 것으로 확인되고 있습니다. 해커가 사용자에게 문자메시지를 전송한 수는 3월 23일까지 총 4천여 건이라고 하며 현 시점까지 불쾌한 문자 메시지 피해를 당한 이용자는 다행스럽게도 이전 집계와 다른 결과는 나오지 않았지만 유출된 고객정보를 활용한 2차 피해에 대한 우려가 커진 상황이라고 하네요.

이런 참담한 문제가 발생한 것은 숙박어플 여기어때의 허술한 시스템 내 취약점 때문입니다. 해서 여기어때는 대응 방안으로 일단 숙소 예약정보(숙박업소, 일시 등) DB를 완전 분리해 암호화하고 예약 시 고객께서 입력하는 정보도 닉네임과 가상번호로 대체하여 서비스 내 개인정보가 일체 사용되지 않도록 시스템을 개편한다고 하고요.

정보보호 전문가 영입, 개인정보 전담팀 구성, 신규 보안 솔루션 도입, 사고대응 모니터링 시스템 구축 등을 보안강화 대책으로 내세웠지만 고객의 신뢰가 뒷받침되어야 하는 숙박어플 O2O 서비스에 이런 문제가 발생한 것 자체가 안타까운 일입니다.

이러한 IT핫이슈로 등극한 여기어때 해킹 사고로 많은 O2O 업계가 긴장을 하고 있습니다. 생활에 밀접하게 연관되어 있는 만큼 대체 뭘 믿고 O2O 서비스를 쓰느냐! 하는 목소리가 수면위로 올라오고 있기 때문인데요, 하지만 이번 사태로 가 마치 숙박 어플, 더 나아가 O2O 업계 전체의 문제로 비약하는 논리에 대해서는 경계해야 한다고 생각합니다. 금융사, 인터파크 등 해킹으로 인한 개인정보 유출 사고가 발생했을 때도 해당 회사 관리 소홀이 문제였지 이를 오픈마켓이나 금융시장의 이슈로 보진 않았거든요.

쉽게 비유하자면 음주 운전을 한 당사자만 일벌백계하면 될 문제를 마치 술을 먹는 모든 사람들을 잠재적 범죄자인 것처럼 취급하는 것과 다를 바가 없다고 생각됩니다. 이번에 발생한 여기어때 해킹 사고가 고객들에게는 참담하고 화가 나는 일인 건 분명하지만 문제의 핵심을 정확하게 파악해야 한다고 보고요.

다른 O2O 업계는 단순히 우린 아니야, 식의 회피 보다는 이번 여기어때 사건을 통해 보안수준을 점검하고 업그레이드 시키는 등의 노력이 필요하다고 생각합니다. 실제로 이러한 경우를 대비하여 많은 투자를 통해 보안에 힘쓰는 회사들도 있지요. 다른 O2O 기업의 사례를 보게 되면 회원정보 보호를 위해 정부가 권장하고 요구하는 수준의 ISMS(정보보호관리체계) 인증 보안 체계를 갖춘 회사도 있습니다. 대표적으로 배달의민족, 야놀자 등이 있는데요. O2O 전체의 문제가 아니라는 것도 이런 부분을 보게 되면 쉽게 알 수 있습니다.

여기서 ISMS는Information Security Management System의 약자로 정보통신망 안정성 확보를 위해 기술적·물리적 보호조치 등 종합적인 관리체계에 대한 인증 제도를 말하는데요. 쉽게 얘기하면 소비자의 개인정보 보호를 담보하기 위해 정부가 보증하는 개념이라고 생각하시면 됩니다.

여기어때 해킹 사고로 인해O2O보안체계에 대한 우려를 하는 것은 충분히 이해가 됩니다. 소중한 개인정보가 유출된다는 뉴스를 본 유저 입장에서는'정보 보안 백년대계'라는 말과는 전혀 어울리지 않는 일련의 사태가 일어나고 있는 것처럼 충분히 보여질 여지가 있다고 생각이 되네요.

하지만 이를 전체로 확대해서 보는 것은 정확한 문제 진단도 아닐뿐더러 O2O 서비스를 성장동력으로 삼아 견실한 모습을 보여주고 있는스타트업들까지피해 전가될 수 있습니다. IT핫이슈라고 할만한 사회현상을 냉정하게 바라봐야 하는 눈을 길러야 하지 않을까 싶네요.
 

<필자 약력 소개>

前 삼성전자 무선사업부 출신 마케터 (2007~2012)

2014 대한민국 블로그 어워드 IT/정보과학 우수상

안드로이드 스마트폰 베스트 앱 200 저자

네이버 포스트 테크 전문 에디터

기업 블로그 필진 및 SNS 전문 강사

 

저작권자 © 월요신문 무단전재 및 재배포 금지