'해킹 사고' 여기어때, 3개월간 보안 인증 하나 없이 영업해

[일간스포츠 조은애]

최근 해킹당한 여기어때가 개인정보보호 인증 마크인 'e프라이버시'를 3개월간 무단으로 써 온 것으로 드러났다. 29일 개인정보보호협회에 따르면 여기어때 운영사인 위드이노베이션은 지난 1월 1일부터 'e프라이버시' 인증을 연장하지 않은 채 무단으로 웹 사이트에 마크를 사용해 왔다. e프라이버시는 기업이 웹 사이트 내에서 개인 정보를 취급하는 모든 활동에 대해 관련 법안을 근거로 9개 분야의 76개 통제 항목에 대해 개인정보보호협회에서 매년 심사를 거쳐 부여하는 개인정보보호 우수 사이트 인증 제도다. 위드이노베이션은 지난해 1월 1일 자로 개인정보보호협회로부터 e프라이버시 신규 인증을 취득하고 이를 홍보해 왔다. 그러나 인증 기간은 지난해 12월 31일 자로 끝났는데도 이를 연장하지 않은 채 올해도 계속 써 왔다. 여기어때가 받은 개인 정보 보안 관련 인증은 e프라이버시가 유일하다. 협회 관계자는 "e프라이버시의 신규 인증을 받으면 1년 동안 마크를 웹 사이트에 게시하는 방식으로 사용할 수 있다"며 "여기어때의 만료 기간이 다가오던 지난해 12월경 갱신 인증을 위해 수차례 연락을 취했으나 담당자와 연락이 닿지 않았다"고 말했다. 이 관계자는 "현재 갱신 인증을 위해 심사 절차를 진행하지 않아 인증의 효력이 없어진 상태"라며 "하지만 여기어때는 해킹 사고가 발생하던 이달 24일까지도 마크를 사이트에 허가 없이 사용했다"고 말했다. 현재 여기어때는 e프라이버시 마크를 웹 사이트에서 내린 상태다. 협회 관계자는 "처음 여기어때가 신규 인증을 받을 때 주된 보완 사항으로 오픈소스웹애플리케이션보안프로젝트(OWASP) 10대 취약점 등에 대한 점검을 매년 시행할 것을 권고하기도 했다"고 말했다. OWASP는 오픈소스웹애플리케이션보안프로젝트로 웹에 관한 정보 노출, 악성 파일 및 스크립트, 보안 취약점 등을 연구해 3년 주기로 10대 웹 취약점을 발표하고 있다. 이번에 여기어때가 당한 해킹 수법으로 강하게 의심받고 있는 SQL인젝션은 OWASP의 10대 웹 취약점에 매번 들어가 있는 해킹 중 하나다. 여기어때 관계자는 "현재 다른 인증 제도로 바꾸기 위해 준비하는 과정에서 이를 바로 내리지 못했다"며 "협회 측에서 인증을 내리라고 요구해 3월 중순에 내리게 됐다"고 말했다. 이 관계자는 "우리가 소홀히 했고 잘못한 것"이라고도 했다.

조은애 기자 cho.eunae@joins.com

▶ 맥심 표지에 등장한 차오루, ‘하의 실종의 끝’

▶ 朴 전 대통령의 여전한 화법? “내가 뇌물받으려고 대통령...”

▶ “생각보다 짧아” 단발머리 수지 근황

▶ 日 유명배우, '21세 연하' 여성과 불륜 데이트 포착

▶ 주상욱♥차예련 “우리 5월 25일 결혼해요”[공식]