보안뉴스 창간 17주년을 축하합니다!!

한화호텔앤리조트 개인정보 유출 그 후... “ISMS 인증 추진 등 시스템 전반 보안 강화”

입력 : 2023-04-19 09:31
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
성명, 휴대전화번호, 방문 리조트명, 입실일 등 4개 항목 유출...“피해자 수는 조사 끝나면 밝힐 것”
한화리조트 온라인 포인트 지급 완료...홈페이지 내 ‘개인정보 노출 확인’ 서비스 제공
개인정보위 조사 진행중...외부 전문가 통한 정보관리 프로세스 개선도 병행 추진


[보안뉴스 김영명 기자] 한화호텔앤드리조트(이하 한화리조트)에서 개인정보 유출사고가 발생한지 2주 남짓이 지났다. 한화리조트는 사건이 발생한 7일 당일 홈페이지 공지를 통해 ‘개인정보 유출 사실에 대한 사과문’을 게재했다. 첫 번째 사과문에서 회사 측은 “시스템의 일시적인 오류로 인해 6월 30일까지 예약된 일부 고객님의 예약정보가 노출된 사실을 확인했다”고 밝혔다.

▲한화호텔앤드리조트 로고[로고=한화호텔앤드리조트]

그로부터 하루가 지난 8일에는 ‘개인정보 유출 사실에 대한 2차 사과문’을 통해 유출된 개인정보의 항목, 유출 시점과 경위, 보상방안, 2차 피해 예방 및 권리 구제를 위한 조치 등을 안내했다. 2차 사과문에서 밝힌 개인정보 유출 항목은 4월 7일 오전 9시 기준 객실 예약자의 △성명 △휴대전화번호 △방문 리조트 지역명 △입실일 등 4가지였다. 유출된 시점은 6일 오후 3시 40분경이며, 유출 경위는 첫 번째 공지와 마찬가지로 홈페이지 DB 인터페이스 오류라고 안내했다.

한화리조트는 9일 다시 한번 ‘개인정보 유출 사실에 대한 FAQ’라는 제목의 공지를 통해 개인정보 노출 경위와 범위, 개인정보 노출 원인, 외부 유출 현황을 알렸다. 이어 보상안으로 개인정보 노출 가능성이 있는 모든 고객에게 ‘한화리조트 온라인 상품권 3만원권’을 제공한다고 밝히며, 개인정보 노출 조회 서비스도 시작했다. 이밖에도 한화리조트 멤버십 서비스인 H-LIVE의 탈회 방법을 안내하기도 했다.

다만, 사건 초기 발생일부터 사흘 연속으로 세 차례의 사과문을 통해 유출 원인과 범위, 유출 경로, 보상안 등을 밝혔지만, 개인정보 노출 건수는 몇 건인지, 전체 피해자가 몇 명인지에 대한 언급은 없었다.

이번 유출 사고와 관련해 <보안뉴스>는 한화리조트 홍보파트 담당자와의 인터뷰를 통해 사건 이후 고객 피해 보상 방안과 함께 내부 보안 강화 등의 조치사항 등을 취재했다. 홍보파트 담당자는 “개인정보 유출 피해를 입은 모든 고객분들에게 사과의 말씀을 드린다”며 “(2차 사과문을 통해) 공지했던 한화리조트 온라인 상품권 3만원권은 지급이 모두 완료됐다”고 말했다.

현재 한화리조트 측은 1차 사과문에서 밝혔듯이 개인정보보호위원회와 한국인터넷진흥원 등 관계기관에 유출 피해 사실을 신고했으며, 실태를 파악 중에 있다. 이 관계자는 “현재 조사가 진행 중이기 때문에 몇 명의 개인정보가 노출됐는지, 몇 건이나 노출됐는지 등은 현재로서는 정확하게 말씀드릴 수 없다”면서도 “전국 각지에 있는 리조트 예약 건과 관련해서 PC로 로그인했을 때 개인정보가 노출됐다”고 설명했다.

한화리조트 산하에는 현재 리조트 11개, 호텔 4개, 테마파크 7개 등 총 22개 휴양시설이 있다. 리조트로는 △거제 벨버디어 △경주 △대천 파로스 △산정호수 안시 △설악 쏘라노 △설악 별관 △용인 베잔송 △제주 △평창 △해운대 △백암온천 등이 있으며, 호텔은 △마티에 오시리아(MATIÈ Osiria) △여수 벨메르 △브리드호텔 양양 △더플라자 등 4개가 있다. 테마파크로는 △설악 워터피아 △뽀로로아쿠아빌리지 등이 있다.

해당 담당자는 “(한화리조트 회원에 가입한) H-LIVE 회원들이 대부분 휴양시설을 예약하기 때문에 2차 피해를 막기 위해 (홈페이지 시스템 보안을 강화하기 전에) 일단 개인정보를 지킬 수 있는 방법으로 탈회를 안내했다”며 “아직 추가로 외부에서 개인정보가 유출됐다는 신고는 들어오지 않았다”고 말했다. 이어 “현재 개선조치 사항으로는 개인정보 유출 발생원인 분석, 서버 점검, 홈페이지 추가 수정 및 검증 작업, 서비스 오픈 전 통합 테스트 강화, 외부 전문가를 통한 정보관리 프로세스 개선을 진행 중”이며 “올해 안에 시스템의 전반적인 개선과 함께 정보보호 관리체계(ISMS) 인증을 추진할 계획”이라고 덧붙였다.


▲한화호텔앤드리조트에서 3차로 올린 개인정보 유출 관련 FAQ[자료=한화호텔앤드리조트]


한편, 한화계열사 멤버십 서비스인 ‘H-LIVE’는 그동안 리조트 회원, 온라인 회원, 골프 회원 등 별도로 관리되던 서비스를 통합해 2020년 3월에 신설됐다. 다만, 현재 정확한 H-LIVE 회원수는 내부 규정상 공개하지 못한다고 설명했다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
2023년 주요 보안 위협 가운데, 올해 말까지 가장 큰 피해를 끼칠 것으로 예상되는 위협은?
공급망 공격
다크웹 기반 랜섬웨어 조직
북한/중국/러시아 등 국가 지원 해킹그룹 활동
스마트폰을 노린 보안 위협
OT 타깃 공격
피싱 공격
기타(댓글로)