숙박앱 O2O 서비스 여기어때 해킹 사건이 묘하게 흘러가고 있다. 지난달 24일 해킹으로 당초 알려진 것보다 많은 99만건의 개인정보가 유출된 것으로 확인된 가운데, 범인은 여전히 오리무중이다. 이런 상황에서 징벌적 손해배상 청구 가능성까지 나와 눈길을 끈다.

해킹 이후 여기어때를 조사한 방송통신위원회와 미래창조과학부의 민관합동조사단에 따르면, 이번 해킹으로 여기어때에서 유출된 개인정보는 약 99만건으로 집계됐다.

다만 일각에서 제기했던 북한 해킹설은 아닐 가능성이 높아졌다. 악성코드를 암호화하는 방식이 북한이 사용하는 방법은 아니기 때문이다. 북한IP에서 시작되었다는 흔적도 없었다.

자연스럽게 홈페이지 보안취약에 따른 해킹으로 결론이 나는 분위기다. 초보적인 방식의 SQL인젝션 방식으로 홈페이지 관리자 정보를 탈취해 개인정보를 탈취했다는 주장이 설득력을 얻고 있다.

여기어때는 분골쇄신을 천명하고 나섰다. 최고보안책임자 영입에 나서는 한편 보안 전담 부서를 신설해 추후 비슷한 사건이 일어나는 것을 막겠다는 의지를 보여주고 있다.

다만 일각에서 이번 해킹을 두고 징벌적 손해배상 청구가 벌어질 가능성이 높다는 말이 나와 촉각을 곤두세우는 분위기다. 유출된 개인정보의 숫자가 99만건에 달하는 등 너무 방대한데다 이미 개인정보가 제3자에게 일부 넘어가 실질적인 소비자 피해가 발생하고 있다는 말이 나오기 때문이다.

최근 공정거래위원회로부터 야놀자와 함께 숙박후기 조작으로 벌금까지 확정된 상태에서, 여기어때는 당분간 시련의 계절을 보낼 것으로 예상된다.