전 세계 호텔들의 예약 시스템에서 개인정보 줄줄 샌다

54개국 1500개 넘는 호텔 조사했더니...민감한 정보의 무분별한 공유
데이터 분석, 광고, 소셜 미디어 분야 파트너사들에 많은 정보 넘어가

[보안뉴스 문가용 기자] 온라인에서 호텔 숙박을 예약할 때 소비자들이 제공하는 정보가 굉장히 많은 이들에게 유출된다는 내용의 보고서가 나왔다. 보안 업체 시만텍(Symantec)의 연구 결과로, 소규모 호텔에서부터 대형 5성급 호텔에 이르기까지 다양한 사업장에서 개인정보가 주기적으로 새나가고 있다고 한다.

[이미지 = iclickart]

“예약한 사람들의 이름, 주소, 모바일 전화번호, 여권 번호, 신용카드의 마지막 네 자리 수 등 예약과 관련된 정보가 서드파티 광고 업체, 소셜 미디어 웹사이트, 데이터 병합 전문 업체 등을 통해 주로 유출되고 있습니다.”

시만텍의 위협 분석가인 캔디드 우에스트(Candid Wueest)는 54개국에서 총 1500개가 넘는 호텔들을 조사했다고 한다. 그 결과 67%가 예약과 관련된 참조 코드를 파트너사에 넘기고 있다는 걸 인지하지 못하고 있었다. “파트너사라면 호텔 예약 시스템에 로그인이 가능하고, 참조 코드만 있으면 고객 정보를 상세히 열람할 수 있죠. 심지어 예약을 멋대로 취소시킬 수도 있습니다.”

또한 우에스트가 조사한 호텔의 57%가 예약이 되었음을 확인시켜주는 이메일을 고객에게 보냈는데, “이 이메일들에는 예약 세부 사항을 로그인 없이 직접 열람할 수 있게 해주는 링크가 포함되어 있었다”고 한다. “이메일에서 사용되는 링크는 정적 링크(static link)였습니다. 그러니 참조 코드와 예약자의 이메일 주소가 URL에 고스란히 들어있을 수밖에 없죠. 게다가 이 이메일과 확인 페이지에는 광고 등의 서드파티 콘텐츠가 가득했습니다.”

추적을 해보니 과연 어떤 호텔들은 30곳이 넘는 서드파티 업체들과 참조 코드를 공유하고 있는 것으로 나타났다. “소셜 미디어 네트워크, 검색 엔진, 광고 업체, 분석 업체 등 다양한 이들이 이 정보를 받고 있었습니다.” 또한 예약자의 정보를 호텔 웹사이트에 저장하고 방치한 곳과, 고객이 예약을 취소해도 정보를 삭제하지 않는 곳이 대다수였다고 우에스트는 밝혔다. “심지어 예약이 진행되는 과정 중에 파트너사들과 정보를 공유하는 호텔도 많았습니다.”

이메일로 그러한 링크를 보내는 것도 문제인데, 링크를 암호화하지 않은 곳도 태반이라 공격자가 이메일을 해킹할 경우 주요 정보가 고스란히 넘어갈 수 있었다. “해커의 능력에 따라 그러한 링크만을 가지고 예약 내용을 변경시키는 것도 가능합니다.”

프라이버시와 컴플라이언스
우에스트는 “소비자들은 자신이 제공하는 개인정보가 안전하게 저장되지 않고 있다는 걸 인지할 필요가 있다”고 강조한다. “또한 호텔 측은 이러한 문제가 발생하고 있다는 걸 알고 조치를 취해야 합니다. GDPR이 도입되고서 1년이 지났는데, 이런 문제가 남아있다는 건 호텔을 경영하는 사람들에게도 치명적으로 작용할 공산이 큽니다. 고객의 프라이버시를 침해하고 있다는 소문이 나면 시장에서 신뢰를 잃을 가능성도 크고요.”

현재 GDPR을 비롯해 여러 프라이버시 보호 규정들은 정보 주체의 동의 없는 개인정보 공유 행위를 강력하게 금지하고 있다. 우에스트는 “그러한 법률적 환경 속에서 호텔들은 시급하게 이 문제를 해결해야 할 것”이라고 말했다. “기술적으로 충분히 해결 가능한 문제입니다. 웹 서버의 로그만 확인해도 불필요한 공유 현황을 파악할 수 있죠. 물론 애초에 이런 걸 로깅하고 있었는지는 의문이 들긴 하지만요.”

한편 보안 업체 완데라(Wandera)는 올해 초 항공사들도 비슷한 방식으로 고객들의 개인정보를 유출시키고 있다는 연구 결과를 발표한 바 있다. 우에스트는 “온라인 예약 등의 서비스를 제공하는 조직이라면, 최대한 빠른 시간 내에 예약 절차를 확인해볼 필요가 있습니다. 링크가 암호화 되어 있는지, URL에 크리덴셜이 노출되는 건 아닌지, 서드파티에 민감한 정보가 넘어가고 있지는 않은지를 파악하는 것이 우선입니다.”

3줄 요약
1. 호텔 대다수가 개인정보 관리 실패해 파트너사와 무분별하게 공유 중.
2. 특히 예약 정보가 문제임. 예약 현황이 암호화 되지도 않은 채 웹사이트에 저장되거나 이메일로 발송됨.
3. 온라인 예약 시스템을 보유하고 있는 모든 조직들은 예약 프로세스와 파트너사와의 정보 공유 현황 점검해야 함.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)