미국 연방거래위원회(FTC)는 메리어트 인터내셔널(Marriott International, 이하 메리어트)과 그 자회사인 스타우드 호텔 앤 리조트 월드와이드(Starwood Hotels & Resorts Worldwide LLC, 이하 스타우드)가 2014년부터 2020년 사이에 발생한 세 건의 대규모 데이터 유출 사건과 관련하여 조사 결과와 합의 사항을 9일 발표했다.
메리어트는 미국 전역과 130개국 이상에서 7,000개 이상의 계열사 호텔을 관리하고 있으며, 2016년에 스타우드를 인수한 이후 메리어트 계열 호텔과 스타우드 호텔에서 운영하는 데이터 보안 기술 및 정책을 총괄하고 있다. 스타우드는 인수되기 전 세계 약 1,300개 이상의 호텔과 리조트를 운영했으며, 산하 호텔에 쉐라톤(Sheraton), W 호텔(W Hotels) 등이 있다.
FTC가 제출한 고소장에 따르면, 메리어트와 스타우드가 적절한 데이터 보안 기술 및 정책을 제공했다고 주장했지만 실제로는 개인 정보를 보호할 수 있는 합리적이거나 적절한 보안 조치를 취하지 않았다고 밝혔다. 구체적으로, 메리어트와 스타우드는 적절한 비밀번호 관리, 접근 제어, 방화벽 제어, 네트워크 분할을 구현하지 않았다. 또한 오래된 소프트웨어와 시스템에 대한 보안 업데이트를 진행하지 않았고, 네트워크 환경을 적절하게 기록하고 모니터링하지 않았으며, 다중 인증도 배포하지 않았다.
FTC는 메리어트와 스타우드의 보안 관리 실패로 데이터 유출 사건이 세 건 발생했으며, 이로 인해 악의적인 행위자들이 수억 명의 소비자의 여권 정보, 결제 카드 번호, 로열티 번호, 생년월일, 이메일 주소 등 개인 정보를 탈취했다고 설명했다. FTC 집계에 따르면, 이번 데이터 유출 사건으로 피해를 본 고객은 전 세계 약 3억 4,400만 명이다.
FTC가 밝혀낸 또 다른 사실은 메리어트가 데이터 유출 발생일로부터 짧게는 1년 길게는 4년까지 몰랐다는 것이다. 가령 첫 번째 유출은 2014년 6월에 시작되어 14개월 동안 탐지되지 않았다가, 2015년 11월에 스타우드가 고객에게 알리면서 밝혀졌다. 이때 스타우드 고객 4만 명 이상의 결제 카드 정보가 유출됐으며, 메리어트가 스타우드를 인수한 지 불과 4일 후에 이 사실이 고객에게 알려졌다.
두 번째 유출은 2014년 7월에 시작되어 2018년 9월까지 발각되지 않았다. 해당 기간 악의적인 행위자는 전 세계적으로 3억 3,900만 개의 스타우드 고객 계정 기록에 접근했으며, 이로 인해 여권번호 525만 개가 암호화되지 않은 상태로 유출됐다.
2018년 9월부터 2020년 2월까지 발생한 세 번째 데이터 유출 사태를 뒤늦게 확인했다. 이번 공격은 메리어트의 자체 인프라를 대상으로 삼아, 전 세계적으로 520만 명의 고객 정보가 유출되는 결과를 낳았다. 피해자 중 180만 명은 미국인인 것으로 밝혀졌다. 유출된 정보에는 고객들의 이름, 우편 주소, 이메일 주소, 전화번호, 생년월일, 멤버십 계정 정보 등 민감한 개인정보가 대거 포함된 것으로 드러났다.
FTC는 메리어트와 맺은 최종 합의에 따라, 49개 주와 워싱턴 D.C.에 데이터 보안과 관련된 유사한 혐의를 해결하기 위해 벌금 5,200만 달러(약 700억 원)를 지불하기로 했다고 밝혔다. 참고로 2023년 기준 메리어트의 연 매출은 237억 달러(약 31조 원)다. FTC는 이번 사건에서 벌금을 부과할 법적 권한이 없기 때문에, 주 정부들과 병행하여 조사를 진행했다고 설명했다.
벌금 외에도 메리어트는 보안성을 높인 조치를 별도로 취하기로 당국과 합의했다. FTC가 밝힌 합의에 따르면, 메리어트는 기본적으로 데이터 수집을 최소화하고 고객이 개인정보 데이터를 직접 삭제할 수 있는 링크를 제공해야 한다. 멤버십 및 적립 프로그램인 ‘메리어트 본보이’ 계정에서 발생한 무단 침입 활동을 검토하고, 적립 포인트가 도난당했을 경우 복원할 방안을 시행해야 한다.
마지막으로 메리어트와 스타우드는 종합적인 정보 보안 정책을 실행해야 하고, 앞으로 20년간 FTC에게 보안 정책 준수 여부를 알리고 인증받아야 한다. 자체적으로 보안 조치는 외부 독립 기관으로부터 2년에 한 번 평가받아야 한다.
[email protected]
Read More from This Article: “고객 여권정보 새나갔는데 4년간 몰라”··· 메리어트, 데이터 유출 책임으로 700억원 벌금 지불
Source: News