야놀자, 숙박 O2O 분야 최초 ‘ISMS 인증’ 취득 등 보안 강화

[보안뉴스 김태형] 최근 여행·숙박 관련 모바일 앱이 인기다. 특히, 숙박 관련 앱은 사용자가 갈수록 늘어나고 있다. 하지만 이용자 입장에서 서비스를 이용할 때 자신이 프라이버시나 개인정보가 침해받지 않을까 하는 불안감이 드는 건 어쩌면 당연하다.


이러한 사용자들의 불안감을 해소하기 위해 개인정보보호 및 보안강화 노력을 꾸준히 펼쳐나가는 기업도 있다. 국내 호텔부터 모텔, 펜션, 그리고 게스트하우스 등의 숙박업소 정보를 제공하고 예약까지 가능한 숙박앱 전문기업 ‘야놀자(www.yanolja.com)’가 그 중 선두주자다. 특히, 야놀자는 고객정보 유출 차단 및 안심 서비스 제공을 위해 숙박 O2O(Online to Offline) 분야에서는 최초로 지난해말 ‘ISMS(Information Security Management System, 정보보호 관리체계)’ 인증을 받았다.

ISMS 인증은 미래창조과학부에서 정보통신망의 안전성 확보를 위해 기업이 수립·운영·관리하고 있는 모든 기술적·물리적 보호조치 등을 평가해 인증하는 제도이다. 더욱이 ISMS는 심사 및 인증 유지가 까다로워 현재(2015년 12월)까지 396개의 기업·기관 인증을 유지하고 있다.

이번 인증과 관련해서 실무 총괄을 맡아 진행한 야놀자 김진중 R&D센터장은 “개인정보와 같은 정보보안이 중요한 숙박 앱 분야에서는 야놀자가 업계에서 처음으로 ISMS를 획득했고 이를 통해 소비자들은 더욱 안심하고 숙박 서비스를 이용할 수 있게 됐다”면서 “더욱이 야놀자에서 취급·관리하는 개인정보는 이름과 핸드폰 번호 2가지로 최소화했으며, 이에 대한 DB 분리와 DB 암호화 등의 필요한 보안 시스템을 적용해 관리하고 있다”고 설명했다.

또한, 사용자들의 예약관련 정보와 금융결제 정보도 별도로 분리해 저장·관리하고 있고, 여기에는 웹방화벽 등 보안 솔루션이 구축·적용되어 있다는 설명이다. 해당 업무담당자들은 VPN을 활용해서만 사용자 정보 조회나 접근이 가능하도록 했고, 사용자 정보 접근 시에는 조회 사유 등을 남기도록 하고 있다. 이와 함께 모텔 프랜차이즈 사업 등 오프라인 분야까지 사업을 확대하면서 오프라인의 숙박업체 대표와 종사자들에 대한 정보보호 교육도 진행하고 있다는 게 야놀자 측의 설명이다.

김진중 센터장은 “사용자 정보보호 외에 앱 자체에 대한 보안도 매우 중요한데, 야놀자는 기본적으로 정보유출이 되지 않도록 SQL 인젝션 방지는 물론, 개발 시 내부개발 서버 등의 시스템은 외부 연결이 완전히 차단·봉쇄된 상태로 진행하고 있으며, 개발 시 필요한 데이터는 실 데이터를 사용하지 않고 가상의 데이터를 사용하도록 하고 있다”면서 “개발 시 실 데이터가 꼭 필요하다면 결재라인을 통해 승인을 받아서 사용하고 이를 통해 증적이 남도록 체계적인 보관과 관리를 하고 있다”고 덧붙였다.

이번 ISMS 인증 과정에서 야놀자는 숙박업소 이용과 관련해서는 성인들의 프라이버시와 개인정보가 가장 중요하다는 측면에 초점을 맞췄다. 온라인 뿐만 아니라 오프라인 현장에서의 정보보호도 중요하기 때문에 비즈니스 상의 정보유출을 방지하고 강화된 보안수준을 유지하기 위한 보안체계를 만드는데 중점을 두었다는 것. 이에 야놀자는 CIO와 CISO 및 개인정보보호 담당자·처리자 등을 지정해 정보보호 조직을 체계적으로 구성·운영하고 있다.

김 센터장은 “이번 ISMS 인증을 위해서 지난해 초부터 준비를 했고 지난해 9월부터 인증 획득을 위한 본격적인 작업을 진행했다. 이어 10월말에 인증 심사를 진행하고 11월까지 개선 및 보완 작업을 거쳐 지난 12월 말에 인증서를 받았다”면서 “이를 통해 망분리를 비롯한 시스템 고도화를 진행했고 기존의 정보보호 정책을 정비하는 등 정보보호 체계를 한층 강화할 수 있었다”고 말했다.

이어서 그는 “이렇듯 전사적으로 정보보호 체계를 고도화했더니 업무 프로세스가 늘어나면서 업무담당자들은 불편한 점이 더 많아졌다. 하지만 모든 업무가 체계적으로 진행되고 증적이 남게 될 뿐만 아니라 모니터링을 통해 보안 측면에서의 불투명한 부분이 사라졌다는 점에서 매우 큰 의미가 있다”고 덧붙였다.

김 센터장은 보안체계가 복잡하면 복잡할수록 틈도 많이 생기기 때문에 보안체계를 촘촘하게 짜는 것 못지 않게 필요 없는 것은 과감히 버리고 필요한 것만 확실히 적용하는 것이 중요하다고 강조했다.

최근 야놀자는 앱을 통해 숙박시설을 예약하고, 열쇠 없이 앱을 통해 객실을 이용하는 키리스(keyless) 기술 등 IoT를 접목한 기술도 선보였다. 이에 대해 김 센터장은 “관련 기술의 보안을 위해서 현장 숙박업소에 설치된 운영 시스템에는 서버와의 통신구간을 암호화해 외부에서 사용자 정보를 해킹할 수 없도록 원천 차단하는 기술을 구현하고 있으며 고객 솔루션 센터에서는 사용자정보와 예약정보를 철저히 분리해 특정 고객의 예약기록을 확인할 수 없도록 시스템을 설계했다”고 설명했다.

앞으로도 야놀자는 보안강화를 위한 노력을 아끼지 않을 방침이다. 이를 위해 지사까지 본사의 정보보호 체계를 유지할 수 있도록 지원하고, 내부적으로 보안의식 제고를 위한 보안교육을 지속적으로 진행할 계획이다.
[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>