[디지털투데이 홍하나 기자] 최근 숙박앱 여기어때의 이용자 정보 해킹 사건이 발생했다. 여기어때의 공식발표에 따르면 91만명의 이용자명, 휴대전화번호, 숙박 이용정보 323만건이 해커에 의해 침해된 것으로 확인됐다. 뿐만 아니라 해커들이 개인정보가 유출된 이용자들에게 수치심을 유발하는 문자까지 전송한 2차 피해가 발생했다.
당초 여기어때 측은 숙박 업계 최초로 개인정보보호협회로부터 '보안e브라이버시' 인증을 받았다고 강조한 바 있으나, 보안 업계에서는 해당 인증 취득이 어려운 편이 아니라고 평가했다. 게다가 이 마저도 지난해 12월로 인증 기간이 만료된 것으로 확인됐다. 이처럼 여기어때의 해킹 파문으로 인해 O2O 업계의 보안 문제가 도마에 올랐다.
4일 관련 업계에 따르면 현재 O2O 업계에서는 이용자 개인정보 보호를 위해 공기관으로부터 정보보호 관리체계인 ISMS(Information Security Management System) 인증을 취득하기 위한 준비를 하고 있거나, 자사의 보안 시스템을 구축하고 있는 것으로 나타났다.
ISMS란 조직의 주요 정보자산을 보호하기 위해 정보보호관리 절차와 과정을 체계적으로 수립, 관리, 운영하는 종합 보안인증제도다. 또 미래창조과학부와 한국정보통신진흥협회(KAIT), 한국인터넷진흥원(KISA) 등이 인증심사원으로 구성되어 있다.
현재까지 ISMS 인증을 취득한 O2O 업체는 야놀자, 배달의민족 등이다. 야놀자는 지난해 1월, 배달의민족은 지난 2월 각각 ISMS 인증을 획득했다. 이밖에 O2O 업체들은 ISMS 인증 취득을 준비하고 있거나 자사만의 방법으로 이용자의 개인정보보호를 관리하고 있다.
부동산 앱 서비스는 기본적으로 이용자들의 개인정보를 수집하지 않고 있다. 이용자들은 회원가입을 하지 않아도 부동산 매물을 검색하고 볼 수 있기 때문이다. 반면 공인중개사의 경우 회원가입을 통해 활동할 수 있다. 공인중개사의 연락처, 이름 등은 기본적으로 노출되는 정보에 해당되기 때문에 부동산 상호명, 담당자 이름, 연락처를 앱, 웹에서 공개하고 있다. 해당 정보는 관할 구청에서도 검색해서 볼 수 있는 '공개된 정보'에 해당된다.
직방은 이용자들의 이름, 연락처 등의 개인정보를 수집하지 않고 있다. 또 직방은 연내 ISMS 인증절차를 밟을 예정이다.
다방은 회원가입 시 이메일, 주소 등의 정보만 입력하면 된다. 또 내부 전문 인력을 통해 웹 취약점 진단, 분석 등 실시간 모니터링을 하고 있으며 보안 솔루션을 공유해 관련 시스템을 업데이트하고 있다.
배달앱 요기요와 배달통을 운영하고 있는 알지피코리아는 IPS(침입방지 시스템), 웹방화벽(웹공격 탐지), DDOS 방어장비 시스템을 구축했다. 또한 각 주요 개인 정보들은 DB(데이터베이스) 암호화 솔루션을 통해 암호화한 뒤 보관하고 있다. 현재 요기요는 ISMS 인증심사 중이며, 배달통 역시 연내 ISMS 인증심사를 마무리할 예정이다.
이처럼 O2O 업계에서는 이용자들의 개인정보보호를 위해 ISMS를 준비, 내부적으로 보안체계를 마련하고 있다. 특히 ISMS는 국가기관에서 인증, 발급하는만큼 정보보안시스템을 체계적으로 관리하고 있다는 것을 인정받는 것으로 보안이 높은 편에 속한다. 실제로 주요 대기업, 종합병원 등은 대부분 ISMS 인증을 받았다.
한국인터넷진흥원 김선미 보안수준인증팀 팀장은 “보안 시스템이 제대로 마련되어 있지 않은 기업의 경우, 개인정보 침해 등 보안사고 발생 시 일시적으로 대응하거나 간단한 시스템, 관련 정책을 도입하는 경우가 종종 있다”며 “ISMS 인증을 받을 경우 보안에 대해 유기적, 지속적으로 관리할 수 있다”고 설명했다.
하지만 스타트업 업계에서는 ISMS를 받는 것이 쉬운 일이 아니라는 의견도 제기됐다. ISMS 인증을 획득하기 위해서는 정보통신망법에 따라 정보보호 관련 관리절차, 운영체계 등 104개 기준에 따라 엄격한 심사를 받아야 하기 때문이다. 또 인증을 받기까지 빠르면 6개월, 길면 1년이 소요된다.
인증 유지도 만만치 않다. ISMS 인증취득 최초심사를 받은 뒤 1년에 한 번씩 사후 심사를 받아야 한다. 비용은 최초 인증 시 평균 1,200만원이 든다. 또 1년에 한 번씩 진행되는 사후 심사에서는 최초 인증 비용의 절반을 매년 지불해야 한다.
한 스타트업 관계자는 "ISMS 외에 기타 보안 시스템 유지에도 상당한 비용이 들어간다"면서 "스타트업은 마케팅, 광고가 관건인데 현재 보안을 위해서 마케팅 광고비도 줄이고 있다. 여기에 ISMS 인증을 받으라는 것은 스타트업 입장에서 큰 부담이 된다"고 밝혔다.
하지만 보안업계에서는 ISMS의 중요성에 대해 강조하고 있다. 보안업계 한 관계자는 "ISMS는 이용자가 많은 기업이라면 받아야하는 서비스"라며 "특히 O2O 앱의 경우 생활밀착형 서비스로 최근 사용자 수가 기하급수적으로 증가하고 있어 정보보안은 필수"라고 전했다.