숙박O2O업체 ‘여기어때’ 홈페이지

[스포츠서울 박효실기자] 숙박O2O업체 ‘여기어때’의 개인정보 유출피해자 집단소송 참가자가 20일 현재 총 1240명으로 불어났다.

앞서 6월2일 총 310명(3명 고소취하)이 서울중앙지방법원에 ‘여기어때’를 운영하는 ㈜위드이노베이션을 상대로 개인정보 유출에 따른 손해배상 소송장을 접수한데 이어 지난 16일 총 930명이 추가로 소송을 제기했다. 이에 따라 소송참가자가 1000명을 돌파하고, 소송가액도 총 17억6400만원으로 늘어났다.

지난해 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법’에 ‘징벌적 손해배상제도’가 도입된 만큼 이번 사건이 관련 첫 케이스가 될지에도 귀추가 주목된다. ‘징벌적 손해배상제도’란 가해자가 고의적·악의적·반사회적 의도로 불법행위를 한 경우 피해자에게 입증된 재산상 손해보다 훨씬 많은 금액의 배상을 하도록 한 제도다.

개인정보 보호법에서는 ‘개인정보처리자의 고의 또는 중대한 과실로 인하여 개인정보가 분실·도난·유출·위조·변조 또는 훼손된 경우로서 정보주체에게 손해가 발생한 때’에 징벌적 손해배상이 가능토록 했다. ‘여기어때’ 집단소송을 대리하고 있는 법무법인 창천은 음란메시지 수신 등 피해를 입은 피해자를 대리해 1인당 법정손해배상금 300만원을 청구한 상태다.

이들 피해자는 앞서 지난 3월 ‘여기어때’전산망이 해킹되면서 개인정보가 유출되는 사고를 겪었다. 당시 사고에서 총 91만명의 숙박예약정보를 포함해 개인정보 341만건이 유출됐다. 피해자 중 약 4000여명에게는 ‘○월○일 오후 ○시 ○○호텔에서 불타는 ○○ 하셨나요?’, ‘○○모텔에서 대실, ○○는 만족스러우셨는지요?’ 등의 음란문자가 배달되기도 했다.

사건이 터지자 위드이노베이션 측은 경찰에 관련 내용을 신고했고, 경찰청 사이버수사과는 지난 6월 중국인 해커 등 피의자 일당 4명을 검거했다. 경찰조사결과 이들 일당은 지난 3월6~17일까지 SQL인젝션, 세션 하이제킹을 통해 전산망을 해킹, 개인정보를 유출한 것으로 밝혀졌다. 보안 전문가들은 위드이노베이션이 상당히 초보적인 해킹에 당했다고 봤다.

한편 위드이노베이션 측은 사건발생 석달만인 지난 6월9일 뒤늦게 한국인터넷진흥원(KISA)의 정보보호 관리체계(ISMS) 인증을 신청한 것으로 알려졌다. 회사 관계자는 “연내 ISMS 인증을 목표로 심사절차를 밟고 있다. 개인정보 보호를 위해 안심번호 도입, 마스킹 처리, 개인정보 취급자 망 분리 등을 시행, 개인정보를 엄격하게 관리하고 있다. DLP(Data Loss Prevention 데이터손실방지), UTM(Unified Threat Management 통합위험관리) 등 물리적 장비를 도입, 보안사고를 원천적으로 차단하고 특히 웹 방화벽(WAF) 강화로 보안체계를 마련했다”고 말했다.

피해보상과 관련해서 이 관계자는 “보안사고가 발생한 뒤 관계당국에 신고를 하고 절차를 밟았다. 피해보상위원회를 구성, 보안사고 피해자를 대상으로 법적검토를 마치면 보상안을 수립할 계획이다”라고 밝혔다. 하지만 피해자가 자신이 피해자인지 여부를 확인하는 절차 조차 여전히 복잡한 상황이다.

개인정보 유출 확인을 위해서는 홈페이지의 공지사항 카테고리 7페이지를 열고 들어가 3월30일자 공지사항 속 신고센터 전화를 이용해야 한다. 회사 측은 개인정보 유출자에 대해 개별로 관련 내용을 알렸다고 고지했으나, 기사를 통해 뒤늦게 자신의 개인정보 유출상황을 알고 신고센터에 전화를 해 확인하는 사례가 많은 상황이다.

gag11@sportsseoul.com