온라인 여행 예약 사이트 부킹닷컴 고객 일부, 피싱 공격 당해

부킹닷컴 내 저장된 개인정보 정확히 포함된 문자 메시지 도착
“예약한 곳에 선입금 필요”하다는 내용에, 일부 고객 송금하기도

[보안뉴스 문가용 기자] 사이버 범죄자들이 최근 온라인 예약 사이트인 부킹닷컴(Booking.com)의 고객을 표적으로 피싱 캠페인을 벌였다. 해커들은 이들의 개인정보를 불법적으로 취득한 것으로 보이는데, 이 때문에 부킹닷컴의 파트너사들 등이 침해된 것으로 보인다.

[이미지 = iclickart]

6월 3일자 더 선(The Sun)지의 보도에 의하면 부킹닷컴 사용자들은 왓츠앱 메시지와 문자 메시지를 받았다. 보안 사고가 의심되니 비밀번호를 바꾸라는 내용이었다. 그리고 여기에는 링크가 담겨져 있었는데, 이는 악성 링크였다. 놀란 사용자들이 이를 누르고 비밀번호 변경을 시도하는 순간 크리덴셜이 공격자들의 손에 넘어가는 수순이었다.

그런 후 사용자들에게는 또 다른 메시지가 도착했다. 부킹닷컴을 통해 여름 휴가로 예약한 호텔 등에 선입금을 해야 한다는 것이었다. 그리고 계좌번호가 하나 동봉됐는데, 이 또한 가짜 번호다.

이렇게 보도된 내용만 봐서는 사용자들이 속아 넘어간 것이 이상해 보일 정도다. 하지만 피해자들 입장에서는 속을만 했다는 게 보도의 내용이다. 왜냐하면 해당 메시지들 속에는 이름, 주소, 전화번호, 날짜, 예약 가격, 예약 번호 등 각종 개인정보들이 정확히 포함되어 있었기 때문이다.

부킹닷컴 측은 사용자들이 받은 정보가 정확한 것에 대하여 “다른 웹사이트나 서비스를 통해 개인정보를 빼간 것으로 보인다”고 설명했다. “특정 파트너사 호텔들을 공격한 것으로 보입니다. 부킹닷컴의 메인 시스템에서는 침해의 흔적이 발견되지 않았습니다.”

또한 부킹닷컴은 인디펜던트(Independent)지와의 인터뷰를 통해 “사이버 범죄자들의 피싱 메시지를 받은 건 고객의 일부이며, 이 중에서도 극소수만이 악성 링크를 클릭했다”고 말했다. 그러면서 “이러한 공격에 노출되어 있는 고객들에겐 통보 메시지를 전부 보낸 상태”라며, “최대한 이번 공격을 통해 일어난 피해를 보상하는 방향으로 논의를 이루고 있다”고 설명하기도 했다.

아직 어떤 호텔들이 침해된 것인지는 밝혀지지 않았다.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)