매리어트서 520만 고객 정보 외부로 유출되는 사고 발생해

2018년 3억~5억 명의 개인정보 유출해 아직도 법정싸움 벌이는 매리어트
최근 내부 앱 통해 520만 고객 정보 유출된 것으로 보여...조사는 아직 진행 중

[보안뉴스 문가용 기자] 매리어트 인터내셔널(Marriott International)에서 데이터 침해 사고가 발생했다. 이로 인해 520만 고객 정보가 유출된 것으로 보인다. 공격자들은 매리어트 내부에서 사용되고 있는 애플리케이션을 통해 이 같은 일을 저지른 것으로 보인다.

[이미지 = iclickart]

매리어트가 발표한 바에 따르면 문제의 애플리케이션은 투숙객들에게 서비스를 제공하는 데에 활용되는 것인데, 지난 2월 매리어트 직원 두 명의 크리덴셜이 과도하게 많은 고객 정보에 접근하는 데 사용되고 있는 것을 발견했다고 한다. 이 때문에 조사가 시작됐고, 아직 진행 중에 있다. 현재까지 알려진 바, 이런 수상한 접근은 1월 중순부터 시작됐고 최대 520만 명의 정보가 유출됐을 가능성이 있다.

매리어트에 의하면 노출된 정보는 이름, 이메일 주소, 우편물 주소, 전화번호, 회원 번호, 잔여 포인트, 회사 이름, 성별, 생년월일, 고객 성향 관련 정보(언어, 객실 유형 등), 항공사 등이다. 매리어트는 이 사건의 영향을 받은 모든 고객들에게 알림 메일을 보낸 상태이며, 1년 간의 아이덴티티 보호 서비스를 무료로 제공하겠다고 발표했다. 피해자들이 도움을 받을 수 있도록 별도의 웹사이트를 마련하기도 했다.

“매리어트는 회사 규모에 어울리는 보험 프로그램에 가입한 상태입니다. 여기에는 사이버 보험도 포함되어 있었습니다. 현재 매리어트는 보험사와 함께 보상안을 평가하고 있는 상태입니다. 아직까지 정확한 금액이 산출된 건 아닙니다만 이번 사건으로 발생한 비용이 대단히 높지는 않을 것으로 보입니다.”

자신 있게 말하긴 하지만 2018년 11월 매리어트 그룹은 대형 정보 유출 사건을 겪은 바 있다. 당시 스타우드(Starwood) 호텔에 묵었던 5억 명의 사람들이 피해를 입은 것으로 나타났다. 공격자들은 스타우드 네트워크에 수년 동안 드나들며 꾸준히 정보를 캐간 것으로 밝혀지기도 했다.

일각에서는 이 2018년 사건이 중국 정부의 사주에 의한 것이라는 주장이 나오기도 했다. 또한 매리어트는 어느 정도 수사를 진행한 뒤 피해자가 5억 명이 아니라 3억 8300만 명이라고 주장하기도 했었다. 그럼에도 이 사건은 규모라는 측면에서 여태까지도 첫 손에 들 만하다. 게다가 여권 정보나 지불 카드 정보 등 매우 민감한 정보도 다량으로 유출됐었다.

이 사건으로 영국의 정보위원회사무소(ICO)는 2019년 7월 매리어트가 GDPR을 위반했다며 1억 2400만 달러의 벌금을 내야 한다고 판결을 내리기도 했었다. 하지만 매리어트는 항소할 것이라고 발표했으며, 실제 아직 법정싸움이 진행 중에 있다.

3줄 요약
1. 2018년 역사 속에서 손꼽히는 유출 사고 기록했던 매리어트, 이번에도 또!
2. 이번 사건의 피해자는 650만 명. 공격자는 내부 애플리케이션 공략한 듯.
3. 아직 수사 진행 중이라 보다 확실한 내용이나 후속조치는 알려지지 않고 있음.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)