Home > 전체기사

A여행사, 여권번호·신용카드 등 개인정보 줄줄이 노출

  |  입력 : 2018-07-02 18:17
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
특정 여행사 사이트, 여권번호·카드번호·연락처·이름 등 개인정보 무방비 노출
여행업계, 개인정보 연이은 유출 이어 노출 사건으로 개인정보 관리 부실 드러나
협단체 자율규제, 제대로 이행 안 돼...적극 참여해 실질적 조치 취해야


[보안뉴스 김경애 기자] 국내 여행사 사이트에서 여권번호·카드번호·연락처 등 중요한 개인정보가 노출되는 사건이 발생했다. 특히, 개인정보는 암호화되지 않고 여행사 홈페이지를 비롯해 구글 검색 등을 통해 그대로 노출된 것으로 드러났다. 더욱이 해당 여행사의 웹서버에 지난 2015년부터 저장돼 있었다는 의혹까지 제기되면서 개인정보 관리 부실이 또 다시 도마 위에 올랐다.

▲특정 여행사 사이트에 개인정보가 노출된 화면[이미지=제보자]


이를 본지에 알려온 한 제보자는 “특정 여행사에서 개인정보를 웹사이트에 그래도 노출하고 있다”며 “노출된 개인정보는 이름, 연락처, 여권번호, 카드번호, 유효기한, 비밀번호 앞에 2자리, 항공권 번호, 출발지와 도착지 결제금액 등이다. 웹사이트 뿐만 아니라 구글 검색을 통해서도 노출되고 있다. 최소 2015년부터 웹서버에 저장돼 있었던 것으로 보인다”고 밝혔다.

문제가 된 해당 여행사의 예약확인 화면을 본지가 확인한 결과, 카드 결제금액, 승인번호 8자리, 카드번호, 카드 유효기간, 할부기간, 생년월일 6자리가 그대로 노출돼 있다. 여기에다 예약확인 여권정보, 현금영수증 정보 등까지 클릭할 수 있다.

이어 예약확인을 클릭해보니 예약번호, 주문번호, 발권시한, 예약상태, 신청일, 발권일, 항공편, 여행구간, 탑승일자, 출발시각, 도착시각, 결제금액 정보가, 여권정보를 클릭하면 한국연락처, 현지연락처, 영문이름 성, 성별, 여권번호, 국적, 생년월일 유효기간 정보가, 항공권 정보를 클릭하면 영문이름, 성별, 여권번호, 생년월일 정보가, 현금영수증을 클릭하면 항공사승인 정보 등이 그대로 노출돼 있는 것으로 드러났다.

특히, 여권번호와 카드번호, 유효기간, 비밀번호 등은 개인 신용정보와 직접적으로 연관돼 있어 금전적 피해는 물론 2,3차 피해까지 발생할 수 있어 매우 위험하다. 더욱이 비행 출발시각, 도착시각, 비행편명 등의 정보까지 노출돼 있어 각종 위험에 노출될 수 있다. 무엇보다 이러한 중요 개인정보가 암호화 조치 없이 관리되고 있다는 것은 개인정보보호법 안전성 확보조치 위반에 해당된다.

이와 관련 한 기업의 CISO는 “이번 사건은 이용자의 주요 정보가 모두 노출됐다는 점에서 프라이버시 침해의 심각성이 매우 크다고 볼 수 있다”며 “제3자에게 공개되는 경우, 신원 도용(Identity theft)에 활용할 수 있는 정보가 버젓이 노출되어 있다. 또한, 이용자의 여행 경로가 노출되어 제3자에 의한 협박 및 갈취 등 2차 피해가 우려되는 문제점이 있다. 게다가 DB뿐 아니라 웹서버에 파일의 형태(.html 포함)로 개인정보가 방치되고 있다는 점은 개인정보 관리가 얼마나 허술했는지 알 수 있다는 점에서 근본적인 개선이 필요하다”고 지적했다.

특히, 중요한 개인정보를 많이 다루고 있는 여행 업종에서의 개인정보 유·노출 사고가 반복적으로 발생하고 있다는 점에서 여행업에서의 개인정보 관리 부실과 자율규제의 문제점이 제기되고 있다. 지난해 여행사 2곳에서 개인정보 유출사고가 발생한데 이어 여행업종의 개인정보 침해 이슈가 벌써 세 번째이기 때문이다.

한국인터넷진흥원 김주영 개인정보대응센터장은 “자율규제는 협단체를 중심으로 소속돼 있는 사업자들이 자율적으로 개인정보보호를 위해 안전성 확보 조치를 취하는 것”이라며, “참여 사업자들이 형식적으로 하는 게 아니라 실질적 조치를 취해야 한다. 그렇지 않으면 정책 집행의 실효성이 떨어지고, 사업자의 개인정보보호 조치수준도 낮아질 수밖에 없다. 개인정보보호 가이드를 참고해 적극 참여해야 한다”고 당부했다.

자율규제를 시행하고 있는 대상 업종에서 최근 반복적으로 개인정보 유·노출 사건이 발생하는 것에 대해 정부부처 관계자는 “개인정보가 유출 및 노출되는 기업에 경고를 하고, 자율규제 대상에서 제외해야 한다”며 “그럼에도 반복적으로 개인정보 침해사고가 발생할 경우 소속된 협회에 대한 강력한 경고는 물론 협회의 자율규제 기능을 철회하는 방안도 검토될 수 있다”고 밝혔다.

현재 이번 사건에 대해 해당 여행사는 조치를 취한 상태이며, 구글 노출건에 대해서는 요청을 한 상태지만, 캐시가 남아 있어 노출 정보가 완전히 사라지기 전까지는 시간이 걸리는 것으로 알려졌다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 시작 6월30일~ 시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018 파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 다크웹을 통한 데이터 및 개인정보 유출이 빈번하게 발생하고 있습니다. 다크웹에 대해 아시거나 접속해 보신 적이 있으신가요?
다크웹에 대해 들었지만, 접속해본 적은 없다
1~2번 접속해본 적 있지만, 활용방법은 잘 모른다.
종종 들어가서 업무에 활용하기도 한다.
가끔 전문가를 통해 접속해서 유출 정보를 찾는다.
기타(댓글로)