Home > 전체기사
전 세계 호텔들의 예약 시스템에서 개인정보 줄줄 샌다
  |  입력 : 2019-04-11 16:11
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
54개국 1500개 넘는 호텔 조사했더니...민감한 정보의 무분별한 공유
데이터 분석, 광고, 소셜 미디어 분야 파트너사들에 많은 정보 넘어가


[보안뉴스 문가용 기자] 온라인에서 호텔 숙박을 예약할 때 소비자들이 제공하는 정보가 굉장히 많은 이들에게 유출된다는 내용의 보고서가 나왔다. 보안 업체 시만텍(Symantec)의 연구 결과로, 소규모 호텔에서부터 대형 5성급 호텔에 이르기까지 다양한 사업장에서 개인정보가 주기적으로 새나가고 있다고 한다.

[이미지 = iclickart]


“예약한 사람들의 이름, 주소, 모바일 전화번호, 여권 번호, 신용카드의 마지막 네 자리 수 등 예약과 관련된 정보가 서드파티 광고 업체, 소셜 미디어 웹사이트, 데이터 병합 전문 업체 등을 통해 주로 유출되고 있습니다.”

시만텍의 위협 분석가인 캔디드 우에스트(Candid Wueest)는 54개국에서 총 1500개가 넘는 호텔들을 조사했다고 한다. 그 결과 67%가 예약과 관련된 참조 코드를 파트너사에 넘기고 있다는 걸 인지하지 못하고 있었다. “파트너사라면 호텔 예약 시스템에 로그인이 가능하고, 참조 코드만 있으면 고객 정보를 상세히 열람할 수 있죠. 심지어 예약을 멋대로 취소시킬 수도 있습니다.”

또한 우에스트가 조사한 호텔의 57%가 예약이 되었음을 확인시켜주는 이메일을 고객에게 보냈는데, “이 이메일들에는 예약 세부 사항을 로그인 없이 직접 열람할 수 있게 해주는 링크가 포함되어 있었다”고 한다. “이메일에서 사용되는 링크는 정적 링크(static link)였습니다. 그러니 참조 코드와 예약자의 이메일 주소가 URL에 고스란히 들어있을 수밖에 없죠. 게다가 이 이메일과 확인 페이지에는 광고 등의 서드파티 콘텐츠가 가득했습니다.”

추적을 해보니 과연 어떤 호텔들은 30곳이 넘는 서드파티 업체들과 참조 코드를 공유하고 있는 것으로 나타났다. “소셜 미디어 네트워크, 검색 엔진, 광고 업체, 분석 업체 등 다양한 이들이 이 정보를 받고 있었습니다.” 또한 예약자의 정보를 호텔 웹사이트에 저장하고 방치한 곳과, 고객이 예약을 취소해도 정보를 삭제하지 않는 곳이 대다수였다고 우에스트는 밝혔다. “심지어 예약이 진행되는 과정 중에 파트너사들과 정보를 공유하는 호텔도 많았습니다.”

이메일로 그러한 링크를 보내는 것도 문제인데, 링크를 암호화하지 않은 곳도 태반이라 공격자가 이메일을 해킹할 경우 주요 정보가 고스란히 넘어갈 수 있었다. “해커의 능력에 따라 그러한 링크만을 가지고 예약 내용을 변경시키는 것도 가능합니다.”

프라이버시와 컴플라이언스
우에스트는 “소비자들은 자신이 제공하는 개인정보가 안전하게 저장되지 않고 있다는 걸 인지할 필요가 있다”고 강조한다. “또한 호텔 측은 이러한 문제가 발생하고 있다는 걸 알고 조치를 취해야 합니다. GDPR이 도입되고서 1년이 지났는데, 이런 문제가 남아있다는 건 호텔을 경영하는 사람들에게도 치명적으로 작용할 공산이 큽니다. 고객의 프라이버시를 침해하고 있다는 소문이 나면 시장에서 신뢰를 잃을 가능성도 크고요.”

현재 GDPR을 비롯해 여러 프라이버시 보호 규정들은 정보 주체의 동의 없는 개인정보 공유 행위를 강력하게 금지하고 있다. 우에스트는 “그러한 법률적 환경 속에서 호텔들은 시급하게 이 문제를 해결해야 할 것”이라고 말했다. “기술적으로 충분히 해결 가능한 문제입니다. 웹 서버의 로그만 확인해도 불필요한 공유 현황을 파악할 수 있죠. 물론 애초에 이런 걸 로깅하고 있었는지는 의문이 들긴 하지만요.”

한편 보안 업체 완데라(Wandera)는 올해 초 항공사들도 비슷한 방식으로 고객들의 개인정보를 유출시키고 있다는 연구 결과를 발표한 바 있다. 우에스트는 “온라인 예약 등의 서비스를 제공하는 조직이라면, 최대한 빠른 시간 내에 예약 절차를 확인해볼 필요가 있습니다. 링크가 암호화 되어 있는지, URL에 크리덴셜이 노출되는 건 아닌지, 서드파티에 민감한 정보가 넘어가고 있지는 않은지를 파악하는 것이 우선입니다.”

3줄 요약
1. 호텔 대다수가 개인정보 관리 실패해 파트너사와 무분별하게 공유 중.
2. 특히 예약 정보가 문제임. 예약 현황이 암호화 되지도 않은 채 웹사이트에 저장되거나 이메일로 발송됨.
3. 온라인 예약 시스템을 보유하고 있는 모든 조직들은 예약 프로세스와 파트너사와의 정보 공유 현황 점검해야 함.

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 5월 31일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
7월 1일부터 주 52시간 근무제가 확대 시행됩니다. 보안종사자로서 여러분의 근무시간은 어느 정도 되시나요?
주 32시간 이하
주 40시간
주 48시간
주 52시간
주 58시간
주 60시간 이상
기타(댓글로)
      

티제이원
PTZ 카메라

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

파나소닉코리아
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

비전정보통신
IP카메라 / VMS / 폴

대명코퍼레이션
DVR / IP카메라

쿠도커뮤니케이션
스마트 관제 솔루션

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

AVIBILON
영상 보안 / 출입 통제

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

한국씨텍
PTZ CCTV

슈프리마
출입통제 / 얼굴인식

트루엔
IP 카메라

디비시스
CCTV토탈솔루션

에스카
CCTV / 영상개선

엔토스정보통신
DVR / NVR / CCTV

씨오피코리아
CCTV 영상 전송장비

CCTV프랜즈
CCTV

티에스아이솔루션
출입 통제 솔루션

구네보코리아
보안게이트

옵티언스
IR 투광기

디케이솔루션
메트릭스 / 망전송시스템

지와이네트웍스
CCTV 영상분석

KPN
안티버그 카메라

베일리테크
랜섬웨어 방어솔루션

화이트박스로보틱스
CCTV / 카메라

신우테크
팬틸드 / 하우징

네이즈
VMS

케이제이테크
지문 / 얼굴 출입 통제기

혜인에스앤에스
통합보안시스템

셀링스시스템
IP 카메라 / 비디오 서버

사라다
지능형 객체 인식 시스템

두레옵트로닉스
카메라 렌즈

퍼시픽솔루션
IP 카메라 / DVR

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

지에스티엔지니어링
게이트 / 스피드게이트

케이티앤씨
CCTV / 모듈 / 도어락

창우
폴대

수퍼락
출입통제 시스템

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

대산시큐리티
CCTV 폴 / 함체 / 랙

엘림광통신
광전송링크

싸이닉스시스템즈
스피드 돔 카메라

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

인사이트테크놀러지
방폭카메라

유진시스템코리아
팬틸트 / 하우징

카티스
출입통제 / 외곽경비

넷플로우
IP인터폰 / 방송시스템

글로넥스
카드리더 / 데드볼트

세환엠에스
시큐리티 게이트

화인박스
콘트롤박스 / 배전향