방송통신위원회가 8일 전체회의를 열어 숙박 O2O 기업' 여기어때'를 운영하는 위드이노베이션에 과징금 3억100만원, 과태료 2500만원 처분을 내리고 책임자 징계권고, 위반행위의 중지 및 재발방지대책 수립 시정명령, 시정명령 처분사실 공표 등의 행정처분을 의결했다.

여기어때 마케팅 웹페이지는 지난 3월 해커에게 공격당해 개인정보가 탈취됐다. 단순한 해킹방식인 SQL 인젝션으로 보안망이 뚫려 큰 충격을 안겼으며 서비스 이용자의 숙박예약정보 323만9210건과 회원정보 17만8625건이 무더기로 유출됐다. 해커들은 개인정보 탈취 후 여기어때에 금전을 요구했으나 거절당한 후, 숙박이용내역을 악용해 여기어때 이용자를 대상으로 음란문자 4817건을 발송하기도 했다.

범죄를 저지른 해커일당은 6월 경찰에 검거됐다. 경찰에 따르면 IT업계에서 일한 주범 이 모씨는 업계에서 알게 된 박모씨 등과 모의해 중국인 해커에게 해킹을 의뢰했고, 해킹이 성공하자 여기어때에 비트코인으로 6억원을 요구했던 것으로 알려졌다.

방통위의 이번 처분은 업계의 예상을 넘어서는 수위라는 것이 일반적인 평가다. 사건이 터진 후 즉각 피해보상안을 마련하고 심명섭 대표이사 명의의 사과문까지 발표하는 한편 자진 신고까지 했지만, 방통위는 엄정 처벌의 의지를 분명히 했다. 방통위는 "조사과정에서 여기어때는 정보통신망 이용촉진 및 정보보호 등에 관한 법률에서 정한 접근통제, 접속기록 보존, 암호화, 유효기간제 등 개인정보 보호조치 규정 다수를 위반하고 있는 것으로 나타났다"고 강조했다.

방통위에 따르면 여기어때는 개인정보처리시스템 다운로드 등의 접근권한이 있는 개인정보취급자의 컴퓨터를 외부 인터넷망과 업무망으로 분리하지 않았고 적절한 규모의 침입차단, 탐지시스템을 설치하고 개인정보처리시스템에 접속한 IP 등을 재분석하여 불법적인 개인정보 유출 시도를 탐지하지 않았다.

또 해킹을 당한 마케팅센터 웹페이지에 대해서 웹페이지 취약점 점검을 수행하지 않았으며 고객상담사 등에게 파일 다운로드 권한이 있는 관리자페이지 접근권한을 부여하는 등 접근권한을 과하게 부여했다. 마지막으로 인사이동 시 취급자의 접근권한을 변경하지 않아 해커가 이를 악용하여 개인정보 파일을 다운로드 한 점 등은 심각한 법 위반이라는 설명이다.

이효성 방통위원장은 “O2O 서비스의 경우 사생활과 관련된 민감정보를 수집, 이용하는 경우가 많으므로 사업자들은 마케팅이나 이용자 확보에 기울이는 노력만큼 보안투자나 개인정보 보호를 위한 노력을 병행하길 바란다"고 말했다.

한편 여기어때는 "8일 오전 방통위에 출석해 의견을 전달하기는 했으나 아직 명확한 상황은 파악하지 못했다"고 말했다.