메리어트, 美 스타우드고객 데이터 보안 사고
예약 정보 무단 접근 발견…보안 강화 조치 중
2018-12-03 16:15:54 , 수정 : 2018-12-03 16:20:44 | 정연비 기자

[티티엘뉴스] 지난 9월 발생한 스타우드 미국 내 고객 예약 데이터베이스에 정보 보안 사고 후 메리어트그룹이 사고 해결 조치중이다.

 

그룹 조사 결과 지난 9월10일 또는 이미 그 이전에 스타우드 호텔의 예약 관련 고객 정보가 포함된 데이터베이스에 무단 접근이 발생한 정황이 확인된 상태다.

 

 

메리어트에 따르면 지난 9월8일 내부 보안 시스템으로부터 미국 내 스타우드 고객 예약 데이터베이스에 접근하려는 시도와 관련된 경보를 받았고 이후 주요 보안전문가들에게 신속히 의뢰하여 문제 파악에 나섰다. 
 

지난달 19일경 메리어트는 정보를 해독하여 그 내용이 스타우드 고객 예약 데이터베이스로부터 나온 것이라는 사실을 확인했다.

 

해당 데이터베이스에는 스타우드 호텔에 예약한 약 5억명의 고객 정보가 포함된 것으로 추정된다.
 

그중 약 3억 2700만명의 고객 정보에는 이름, 주소, 전화번호, 이메일 주소, 여권번호, 스타우드 프리퍼드 게스트(SPG) 계정 정보, 생년월일, 성별, 도착 및 출발 정보, 예약 날짜 및 선호하는 커뮤니케이션 채널의 조합이 포함돼있다. 일부 정보에는 신용카드 번호 및 유효기간도 포함되어 있지만 신용카드 번호는 AES-128(고급 암호 표준, Advanced Encryption Standard)을 사용해 암호화 되어있다.
 

신용카드 번호를 해독하려면 두 가지 요소가 필요하며, 이 시점에서 메리어트는 두 가지 모두가 쓰여진 가능성을 배제할 수 없다. 나머지 고객들의 정보의 경우, 이름과 주소, 이메일 주소 또는 기타 정보와 같은 기타 데이터로 제한된다.

 

메리어트는 이 사고를 법 집행기관 및 규제 당국에 통보했으며 조사에 필요한 모든 것을 지원하고 있다.

 

안 소렌슨 (Arne Sorenson)메리어트 사장겸 CEO는 이번 사고에 유감을 표하며 “전용 웹사이트와 콜센터 운영을 통해 고객의 개인 정보에 관한 질문에 답변할 수 있도록 최선을 다하고 있다”며 “또한 계속해서 법 집행기관의 노력을 지원하고, 개선을 위해 주요 보안전문가들과 협력할 것은 물론 스타우드 시스템을 단계적으로 제거하고 네트워크의 지속적인 보안 강화를 가속화하기 위해 모든 역량을 집중하고 있다”고 설명했다.

 

이와 관련 메리어트는 고객이 자신의 정보를 모니터하고 보호할 수 있도록 다양한 채널을 열어 고객 불안 최소화에 나섰다.

 

 

 

먼저 이번 사고에 대한 질문에 답변하기 위해 전용 웹사이트와 콜센터를 개설했다. 자주 묻는 질문(FAQ)은 전용웹사이트에서 수시로 보완될 수 있다. 콜센터는 연중무휴로 운영되며 다국어로 제공된다. 통화량이 많을 수 있다.

 

또한 지난달 30일부터 스타우드 고객 예약 데이터베이스에 이메일 주소가 있는 피해를 입은 고객들에게 이메일 발송을 시작했다. 
 

뿐만 아니라 메리어트는 1년 간 웹와처(WebWatcher)에 무료로 등록할 수 있는 기회를 제공한다. 웹와처는 개인정보가 공유되어 있는 인터넷 사이트를 모니터하고, 소비자의 개인정보 흔적이 발견되면 경고 메시지를 보낸다. 규정 및 기타 이유로 인해 웹와처 혹은 이와 유사한 프로그램은 일부 국가에서만 사용 가능하다. 웹와처를 작동시키려면 웹사이트로 이동하여 리스트에 있는 해당 국가를 클릭하고 등록하면 된다. 추가로 메리어트는 SEC에 이 보도자료의 사본을 첨부하고 사고와 관련된 특정 정보를 포함하는 Form 8-K를 제공한다.

 

한편 스타우드 브랜드 계열 호텔은 W 호텔, 세인트 레지스, 쉐라톤 호텔 & 리조트, 웨스틴 호텔 & 리조트, 엘리먼트 호텔, 럭셔리 컬렉션, 트리뷰트 포트폴리오, 르 메르디앙 호텔 & 리조트, 포 포인츠 바이 쉐라톤, 디자인 호텔. 스타우드 브랜드의 타임쉐어(timeshare) 호텔이다.

 

정연비 기자 jyb@ttlnews.com

관련기사