메가브리치 없던 한 해? 숙박 요식 업계가 당했다

대대적인 유출 사고 드물었던 한 해...호텔과 식당은 계속 공격 당해
트럼프 호텔과 피자헛, 하얏트 등...카드 정보 다수 유출돼

[보안뉴스 문가용 기자] 올해 보안 업계의 좋은 소식이 있다면 ‘타깃(Target)’이나 ‘홈데포(Home Depot)’와 같은 도소매 업계에서 ‘메가 브리치’ 사건이 일어나지 않았다는 것이다. 아니, 모든 산업으로 범위를 넓혀도 사실 2017년 한 해 동안에는 ‘메가브리치’가 시끄럽게, 대대적으로 터진 적은 거의 없다.

[이미지 = iclickart]

그렇다고 PoS 공격으로부터 우리가 드디어 자유해진 건 아니다. 아직도 사이버 공간의 현실은 삭막하기 그지없다. 올해 도소매 업계가 비교적 안전할 수 있었던 건 해커들의 관심이 다른 데 있었기 때문이다. 그건 바로 호텔, 숙박, 식당 쪽. 이 분야 사장님들은 ‘해킹 폭격’을 크게 맞았다. 그 중 눈에 띄는 곳들을 모아 정리해본다.

피자헛
사건 : 피자헛의 웹사이트로 침입이 있었다. 모바일 앱 또한 침해됐다. 웹사이트와 모바일 앱으로 피자를 주문한 고객들의 정보가 유출됐다.

발견 시기 : 10월

피해 : 6만여 명의 이름, 우편번호, 배달 주소, 이메일 주소, 지불카드 정보

하얏트
사건 : 하얏트에서 발생한 두 번째 정보 침해 사건으로, 공격자들이 세계 41개 지점에서 3년 정도 기간에 걸쳐 신용카드 정보를 빼돌렸다.

발견 시기 : 10월

피해 : 11개국 41개 지점 프런트 데스크에서 스와이핑 된 지불카드 정보. 중국 지점들 중 절반 가까이에서 피해가 발생했다.

소닉
사건 : 아직도 수사 중인 사건. 공격자들이 소닉 드라이브인(Sonic Drive-In)으로부터 고객 정보를 훔쳤는데, 현재까지 조사된 바로는 피해자가 수백만 명에 달할 것으로 보인다. 특정 지점의 POS 시스템이 문제였던 것 같다.

발견 시기 : 9월

피해 : 수사 중이긴 하지만 약 5백만 명 고객들의 지불카드와 거주 도시, 주, 우편번호가 유출된 것으로 보인다.

세이버(Sabre)
사건 : 훔친 크리덴셜을 구한 공격자들이 예약 시스템인 세이버 호스피탈리티 솔루션(Sabre Hospitality Solution)에 침입했다. 트럼프 호텔, 포시즌즈, 로우스 호텔 등 해당 시스템을 사용하는 호텔 다수에서 고객 정보가 유출됐다.

발견 시기 : 5월

피해 : 7개월 동안 약 3만 5천 개의 호텔들에서 매일 같이 기록된 예약 정보의 15%가 유출됐다.

치폴레(Chipotle)
사건 : 치폴레의 2250개 지점 거의 전부에서 POS 멀웨어가 발견됐다. 공격자들이 3주에 걸쳐 시스템에 머물러 있었다.

발견 시기 : 5월

피해 : 해당 기간(3월 후반~4월 중순) 동안 치폴레 점포를 방문한 고객들의 카드 소유주 정보가 전부 유출됐다.

인터콘티넨탈 호텔 그룹
사건 : 처음에는 12개의 인터콘티넨탈 호텔에서 소규모로 사건이 발생한 줄 알았는데, 수사를 진행하다보니 약 1200개 지점에서 침투 흔적이 발견됐다.

발견 시기 : 2월과 4월

피해 : 49개주 1200개 인터콘티넨탈 호텔 지점을 공격 기간 동안 방문한 고객들의 카드 소유주 정보가 유출됐다.

아비스(Arby's)
사건 : 아비스 지점들의 지불 시스템에 멀웨어가 심겨졌다.

발견 시기 : 2월

피해 : 신용카드와 현금카드 약 35만 5천 개의 정보가 유출됐다.

[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)