O2O(Online to Offline) 업계에 비상이 걸렸다. 최근 숙박 O2O 모바일 서비스 ‘여기어때’가 초보 수준의 해킹 방법에 의해 개인 정보가 유출되는 사건이 발생했다. 이용자명, 휴대전화번호, 숙박이용정보가 유출됐고, 심각하게도 2차 피해까지 이어졌다.

 

앞서 여기어때는 보안 인증을 충분히 받았다고 홍보를 했다. 한국정보통신산업협회의 e-프라이버시 인증마크를 취득했다고 말이다. 그러나 당장 불미스런 사건이 발생하자 O2O업계는 물론 다수의 업체들은 e-프라이버시 인증마크는 쉽게 취득할 수 있다며 난이도 높은 보안 인증을 취득해야 된다는 의견을 쏟아냈다. 맞는 말이지만 또 소 잃고 외양간 고치는 격이 돼버렸다.

 

개인정보 보호 문제는 O2O업계만의 이슈는 아니다. 당장 투자 여력이 부족한 스타트업 열기에 찬물을 끼얹긴 했으나, 여행사들도 마냥 안심할 수만은 없는 문제 중 하나다. 다른 업체들도 마찬가지다.

 

현재 국내에서 보안성이 가장 뛰어나다고 평가받는 것은 미래창조부와 KISA에서 인증하는 정보보호관리체계(ISMS)와 개인정보보호 관리체계(PIMS)가 있다. 정부기관이 인증하는 만큼 자격 요건부터 비용, 인증을 받기까지 많은 투자가 필요하다. 또한 인증을 받았다 하더라도 3년간 유효기간이 주어져 연장 심사를 받아야만 한다.

 

그렇다면 과연 여행업계에서는 정부 기관 인증을 취득한 업체들이 얼마나 될까. 한국인터넷진흥원에서는 연도별 발급 현황은 쉽게 확인할 수 있도록 했다. 최근부터 살펴보니 지난해 이스타항공, 티웨이항공, 온라인투어가 ISMS 인증을 취득했다. 2015년에는 모두투어, 야놀자, 진에어, 2014년에는 아시아나세이버, 하나투어, 제주항공이 받았다. PIMS를 인증 받은 업체로는 인터파크가 지난 2015년 취득했다.

 

물론 정부기관의 보안 관련 인증을 반드시 취득해야 된다고 말하려는 것은 아니다. 다만 어떤 업체들이 보안에 얼마나 투자를 했는지는 단적으로 보여주는 예가 아닌가.

 

개인정보 보호법은 갈수록 강화되고 있으며, 또 강화해야만 한다. 최근에는 기업의 개인정보보호 관리체계를 의무화하는 정보통신망 이용촉진 및 정보보호 등에 관한 법률 일부 개정안이 발의되기도 했다. 기업이 자율적으로 보안관리를 운영하고, 관리체계를 인증을 받는데 소극적일 수 있다는 시각에서다.

 

현재 업계에서는 KATA가 개인정보보호 위탁기관으로 선정돼 자율규제로 전환해 시행하고 있다. 지금이라도 여행사들의 자율적인 보안 재점검이 필요할 때다.

 

<고성원 기자>