[아이뉴스24 최은정 기자] 국내 여행 플랫폼 '플레이윙즈'의 일부 회원 개인정보가 유출된 것으로 나타났다. 한국인터넷진흥원(KISA)에 신고한 상태로 고객에는 추가 사고에 대비한 비밀번호 변경 등을 당부했다.
플레이윙즈는 사용자 맞춤형으로 항공권 특가 정보를 알려주는 서비스 제공 애플리케이션. 약 412만명 회원 수를 보유하고 있다. 지난해 1월 월간 활성 사용자(MAU)는 61만 명, 같은 기간 이 앱을 통해 항공권 판매 사이트로 이동한 수는 누적기준 3천800만회였다.
29일 KISA에 따르면 플레이윙즈의 이번 정보 유출 관련 사고를 접수 받고 현재 방송통신위원회와 사실 확인 중인 것으로 나타났다.
이날 오후 플레이윙즈는 홈페이지 공지를 통해 "지난 4월 23일경 허가받지 않은 외부 접속자가 당사 서버 접속 키를 탈취해 일부 회원정보에 비정상적인 방식으로 접근했다"며 "당사 데이터베이스(DB)에 적재된 귀하의 개인정보를 탈취한 것으로 확인했다"고 밝혔다.
이어 KISA에 신고가 두 달 가량 늦게 이뤄진 점에 대해 "당시 이와 관련 DB 로그를 면밀히 살폈으나 별도 외부유출 정황이 남아있지 않았다"며 "개인정보 유출에 대한 인지가 늦어진 점에 대해 다시 한번 사과드린다"고 설명했다.
이메일 주소로 가입한 회원 약 40만명의 계정정보인 이메일 주소, 암호화된 비밀번호, 닉네임 총 3가지 항목이 유출된 것으로 나타났다. 다만 사회관계망서비스(SNS)를 통해 가입한 회원의 정보는 포함되지 않았다는 게 회사 측 설명이다. 개인정보 최소수집 원칙에 따라 SNS 로그인 고객의 성명, 주민등록번호, 카드번호 등 정보는 원칙적으로 보관·수집하지 않고 있기 때문이다.
플레이윙즈는 "(이번에 유출된 정보에는) 고객 개인을 특정할 수 있는 민감 정보는 포함되지 않았다"면서도 "해커가 피싱메일 등을 발송할 수 있으니 출처가 불분명한 이메일 수신 시 주의를 기울이고 혹시 모를 추가 피해를 최소화하기 위해 귀하의 비밀번호를 변경해 주시기 바란다"고 설명했다.
앞서 회사는 지난 4월23일 외부 접속자가 있었다는 것을 파악한 당시 우선 조치로 서버접속 키를 변경한 바 있다.
플레이윙즈 관계자는 "내달 론칭하기로 한 플레이윙즈 리뉴얼 서비스에서 보다 보안이 강화된 사용자 DB를 사용할 예정"이라며 "추가로 이메일 아이디를 (현재 단방향 암호화에서) 양방향으로 암호화할 것"이라고 계획을 밝혔다.
이어 "현재 물리적·관리적·기술적 정보 통제를 더욱 강화해 고객 정보 보호에 만전을 기하고 있다"며 "또한 이번 사건과 관련해 고객 피해가 발생한 것으로 확인되면 적법한 절차에 따라 구제 조치를 취하도록 하겠다"고 말했다.
또 최근 다크웹에 플레이윙즈 회원 410만명의 계정정보가 판매되고 있다는 주장에 회사 측은 "다크웹에 올라온 정보와 회사 DB를 비교한 결과 약 40만명의 이메일 주소만 일치하는 것으로 확인됐다"고 밝혔다.
또 "다크웹에는 탈퇴하거나 휴면으로 전환된 계정, 그리고 1회성 SNS 로그인 번호 등이 포함돼 있어 (410만명의 정보) 모두 유효한 것이 아니다"며 "이를 통해 개인을 특정할 수 없기 때문에 (410만명 정보 전부를) 개인정보로 볼 수는 없다"고 강조했다.
최은정 기자 ejc@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기