작년 12월 밝혀진 5억 건 유출 사건, 규모는 조금 줄었으나
도난당했을 가능성 낮다던 여권번호, 5백만 건 유출된 것으로 밝혀져

[보안뉴스 문가용 기자] 메리어트 인터네셔널(Marriott International)에서 발생한 대규모 정보 유출 사건에 대한 중간 수사 결과가 나왔다. 최초에는 5억 명의 정보가 유출된 것으로 알려졌으나, 그 수는 3억 8천 3백만 명으로 조금 줄어들었다. 하지만 5백만 개의 여권번호가 암호화되지 않은 채로 도난당했다는 사실도 추가로 밝혀졌다.


보안 업체 웹루트(Webroot)의 수석 솔루션 아키텍트인 맷 알드리지(Matt Aldridge)는 “이 시점에서 가장 궁금해지는 건, 왜 호텔이 고객의 여권번호까지 알아야 하냐는 것”이라고 지적한다.

“GDPR의 효과 중 하나는 기업들이 ‘왜 굳이 우리가 이런 정보들까지 수집하는가?’를 스스로 묻고 점검하도록 하는 것이었습니다. 굳이 그런 정보까지 수집해야 할 필요가 발견되었다면, 민감한 정보를 알맞게 보관하도록 하는 게 두 번째 효과이고요. 이번 사건은 메리어트가 너무 많은 정보를 쓸데없이 수집하다가 불필요한 피해자를 양산한 것이라고 요약할 수 있습니다.”

국가나 지역, 도시에 따라서 행정 기관이 안전과 보안을 이유로 호텔 등 숙박 조직들을 통하여 방문객의 상세한 정보를 수집할 때도 있다. 당연히 여권번호도 여기에 포함된다. “그렇다고 하더라도, 해당 정보를 호텔 측이 수집한 후 유관 기관에 전송했어야 합니다. 스스로가 여권번호를 간직하고 있을 필요도 없고, 그래서는 안 됩니다. 아직도 정보 수집 행위에 대한 진지하고 꼼꼼한 점검이 모자랍니다. 그러니 당연히 보호조치가 막연하고, 제대로 기능을 발휘하지 못할 수밖에요.”

그러면서 알드리지는 “회사가 보유하고 있는 모든 개인정보는 잠재적 공격 지점이라는 걸 반드시 기억해야 한다”고 강조한다. “또한 기업 내 직원들이나 파트너사가 그 데이터에 접근 때마다, 그 사람도 공격 지점이 됩니다.” 보안 업체 유니켄(Uniken)의 CEO인 비말 간디(Bimal Gandhi)가 설명을 보충한다.

“그래서 호텔을 비롯한 숙박업계와 은행 등의 온라인 상거래 관련 조직들이 서서히 새로운 인증 방식을 검토하고 도입 중에 있습니다. 고객의 개인식별 정보가 없어도 인증이 가능한 방법들 말이죠.”

지난 12월 메리어트 측은 “공격당한 것이 밝혀진다면, 여권 재발급 비용을 대겠다”고 약속한 바 있다. 그러면서 “공격자들이 여권번호를 가져갔거나 사용할 확률은 매우 낮다”고 덧붙이기도 했다. 이제 메리어트는 5백만 개 여권에 대한 대책을 마련해야 할 것으로 보인다. 5억 개의 도난 기록이 3억 8천만 개로 줄어든 것은, 사건의 규모 자체가 축소된 게 아니라 겹치는 정보를 전부 지워냈기 때문이다.

메리어트 측은 작년 9월 악성 행위자들이 4년 동안 스타우드 예약 시스템으로부터 정보를 꾸준히 빼돌린 사실을 발견했다. 하지만 이에 대해 고객들에게 알리고 발표한 건 12월의 일로, 3개월에 가까운 발표 지연에 대해서는 이렇다 할 이유를 대지 않았다.

메리어트는 스타우드 호텔을 2016년에 인수했는데, 그렇다는 건 이미 멀웨어가 있는 상태에서 거래가 진행되었다는 것을 뜻한다. 이 때문에 M&A에 있어서의 보안 점검과 상당의 주의(due diligence)가 다시 한 번 화두가 되기도 했다.

3줄 요약
1. 지난 해 말 5억 명 고객 정보 유출된 메리어트 호텔, 중복 정보 지우고 보니 3억 8천 명.
2. 그런데 암호화 되지 않은 여권번호가 약 5백만 건 유출된 것도 추가로 밝혀짐.
3. 왜 호텔에서 굳이 여권번호를 수집해야 할까? 정보 수집에 대한 진지한 점검 필요함.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>