여기어때, 광고비 10분의 1만 보안에 썼어도…

기본 무시하고 성장 매달리다 참사

캐나다의 온라인 이성교제 사이트인 애슐리 매디슨은 2015년 7월 외부 해킹을 당해 3700만명의 개인정보를 털렸다. 회원의 로그인 정보를 제대로 암호화하지 않았던 것으로 알려졌다. 애슐리 매디슨은 “인생은 짧습니다. 바람을 피우세요(Life is short. Have an affair)”라는 캐치프레이즈로 ‘불륜을 조장한다’는 비난을 받은 서비스다. 서비스의 성격상 후폭풍도 컸다. 사이트 가입 사실을 공개하겠다는 협박 때문에 캐나다에서만 두 명이 자살했다.

지난달 벌어진 모바일 숙박예약 서비스 ‘여기어때’의 해킹 사건은 애슐리 매디슨의 사고 사례를 떠올리게 한다. 지난 26일 방송통신위원회와 미래창조과학부 조사 결과에 따르면 해커들은 99만건에 이르는 개인정보를 훔쳤다. 예약자 이름과 휴대폰번호 같은 기본적인 개인정보는 물론 숙박한 업체와 날짜 같은 정보까지 포함됐다.

제대로 된 보안 대책이 없었던 점도 비슷했다. 해커는 ‘SQL 인젝션’ 공격을 통해 여기어때의 관리자 세션값을 탈취했다. SQL 인젝션은 웹사이트 로그인 창에 일종의 명령문을 넣는 기본적이고 초보적인 공격인데도 여기어때는 취약점을 드러냈다. 방통위 관계자는 “비정상적인 데이터베이스(DB) 질의를 검증하는 절차가 없는 웹페이지가 존재했다”고 설명했다.

후폭풍도 우려된다. 해킹 사건 이후 여기어때 회원들에게 4817건의 협박성 음란문자가 발송됐다. 문자는 대부분 “×월×일 OO(숙박업소명)에서 즐거우셨나요”와 같은 수치심을 유발하는 내용이었다. 해커가 회사에 입막음 대가로 수억원 상당의 비트코인을 요구한 사실도 알려졌다. 여기어때를 운영하는 위드이노베이션은 지난달 31일 “회사의 모든 자원을 투입해 시스템을 보완하고 강력한 보안 인프라를 구축하겠다”고 발표했지만 그야말로 ‘소 잃고 외양간 고친다’는 비난이 이어졌다.

위드이노베이션은 2014년 여기어때 서비스를 내놓은 이후 빠르게 성장했다. 하지만 외연 확대에 들인 노력에 비해 내실을 다지는 데는 소홀했다는 아쉬움이 남는다. 여기어때는 업계 최초로 개그맨 신동엽 씨 등 유명 모델을 기용해 대대적 광고를 하기도 했고 ‘5박에 1박 무료’와 같은 파격적인 마케팅도 벌였다. 작년 한 해 광고선전비로 222억원을 썼다. 전년(67억7435만원) 대비 세 배 이상으로 늘어난 규모다. 지난해 영업수익은 246억원이었다. 경쟁사와 ‘업계 1위’ 타이틀을 두고 ‘진흙탕 싸움’도 벌였다. 보안업계 한 관계자는 “광고비의 10분의 1만 보안에 투자했어도 이런 일이 생기지 않았을 텐데 안타깝다”고 말했다.

이승우 IT과학부 기자 leeswoo@hankyung.com