여기어때 개인정보유출사건

   조회수. 519
등록일. 2023.03.07    


1. 사건의 개요


2017년 3월 7일부터 17일 사이 주식회사 위드이노베이션이 운영하는 숙박검색 모바일서비스 “여기어때” 가입자들의 개인정보 99만 584건(중복제외)이 유출되었습니다. 유출된 개인정보 중에는 숙박 예약정보 91만건, 숙박한 업체 등의 정보 1100건, 가입자의 이름, 주소, 이메일, 휴대폰번호 등의 회원정보 7만 8천여건이 포함되어 있었습니다. 그 뿐만 아니라 이 중 4817명에 이르는 가입자들은 “×월×일 OO(숙박업소명)에서 즐거우셨나요”와 같은 문자를 받기도 했습니다. 

이에 민관합동조사단(방송통신위원회, 한국인터넷진흥원, 미래창조과학부, 민간 전문가 등으로 구성)은 지난 4월 26일, “㈜위드이노베이션 홈페이지에는 비정상적인 DB 질의에 대한 검증절차가 없어 SQL 인젝션 공격에 취약한 웹페이지가 존재하였으며, 탈취된 관리자 세션 값을 통한 우회접속(세션변조 공격)을 탐지ㆍ차단하는 체계가 없는 것으로 확인되었다”는 조사결과를 발표하였고, 보안업계 관계자들 또한 주식회사 위드이노베이션 측이 해킹을 막기 위한 기본적인 조치들을 제대로 갖추지 않았다고 하는 등 회사 측이 웹페이지 보안관리를 소홀히 하여 정보가 유출된 정황이 드러나고 있습니다.

무엇보다 이 사건에서는 개인의 사생활 중 내밀한 영역으로써 누구에게도 공개하고 싶지 않은 정보가 포함되어 있고, 유출된 정보를 해커 등의 제3자가 열람한 사실이 드러났음은 물론, 유출된 정보가 앞으로도 제3자의 지배 하에서 금융사기, 공갈 등 각종 범죄에 이용될 가능성이 있으며, 실제로도 약 4천 8백여명에게 협박문자가 발송되는 등 가입자들이 개인정보유출로 인해 입은 피해가 큰 것으로 보입니다. 더구나, “여기어때”측은 지난해 12월에도 정보유출 건으로 한국인터넷진흥원(KISA)의 제재(보안패치)를 받은 전례가 있는데도 여전히 허술한 수준의 보안관리로 이번 사건을 초래하였으며, 이후에도 유출정보 여부를 쉽게 확인할 수 있는 페이지를 별도로 만들지 않고 개별 문의 시 알려주겠다고 하거나 피해보상을 차일피일 미루고 있는 등, 이용자들의 피해 확산 방지 및 보상을 위한 조치를 취하지 않고 있습니다.

이와 같이 이번 사건은 주식회사 위드이노베이션의 개인정보 보호조치 위반으로 정보가 유출되는 피해를 입은 “여기어때” 가입자들이 주식회사 위드이노베이션에게 손해배상을 청구하는 사안입니다. 


2. 소송결과


2017. 6. 9. 소장이 제출된 지 5년 8개월만인 2023. 2. 9. 이 사건의 경위유출된 개인정보의 내용피해 정도피고의 개인정보 관리실태 및 개인정보 유출로 인한 피해확산 방지조치관련사건의 경과 등을 고려하여 위자료를 각 20만 원씩 일부승소판결 획득하였습니다.