메리어트, 스타우드 고객 예약 데이터베이스 보안 사고 발표… 최대 5억명 고객정보 포함
강인귀 기자
1,941
공유하기
-
카카오
-
카카오 나에게
-
페이스북
-
트위터
-
네이버
-
텔레그램
-
링크 복사
메리어트가 스타우드 고객 예약 데이터베이스와 관련된 정보보안 사고를 조사하고 해결하기 위한 조치를 취했다고 30일 밝혔다.
메리어트에 따르면 2018년 9월 10일 또는 그 이전에 스타우드 호텔의 예약 관련 고객 정보가 포함된 데이터베이스에 무단 접근이 발생한 정황이 확인됐다.
스타우드 브랜드에는 W 호텔, 세인트 레지스, 쉐라톤 호텔 & 리조트, 웨스틴 호텔 & 리조트, 엘리먼트 호텔, 럭셔리 컬렉션, 트리뷰트 포트폴리오, 르 메르디앙 호텔 & 리조트, 포 포인츠 바이 쉐라톤, 디자인 호텔. 스타우드 브랜드의 타임쉐어(timeshare) 호텔도 포함된다.
2018년 9월 8일, 메리어트는 미국 내 스타우드 고객 예약 데이터베이스에 접근하려는 시도와 관련하여 내부 보안 시스템으로부터 경보를 받았으며, 신속히 주요 보안전문가들에게 의뢰하여 발생한 문제를 파악했다.
메리어트는 조사를 통해 2014년 이후 스타우드 네트워크에 무단 접근이 있었음을 발견했고, 무단으로 정보를 복사, 암호화하고 이를 제거하려는 조치를 취했다는 사실을 발견했다. 그리고 2018년 11월 19일, 메리어트는 정보를 해독하여 그 내용이 스타우드 고객 예약 데이터베이스로부터 나온 것이라는 사실을 확인했다.
메리어트는 데이터베이스에서 중복된 정보에 대한 확인을 끝내지 못했지만 스타우드 호텔에 예약한 약 5억명의 고객에 대한 정보가 포함되어 있다고 추측하고 있다.
이 중 약 3억 2700만명의 고객 정보는 이름, 주소, 전화번호, 이메일 주소, 여권번호, 스타우드 프리퍼드 게스트(“SPG”) 계정 정보, 생년월일, 성별, 도착 및 출발 정보, 예약 날짜 및 선호하는 커뮤니케이션 채널의 조합을 포함한다.
일부 정보에는 신용카드 번호 및 유효기간도 포함되어 있지만 신용카드 번호는 AES-128(고급 암호 표준, Advanced Encryption Standard)을 사용해 암호화 되어있다. 신용카드 번호를 해독하려면 두 가지 요소가 필요한데, 이 시점에서 메리어트는 두 가지 모두가 쓰여진 가능성을 배제할 수 없다고 설명했다. 나머지 고객들의 정보의 경우, 이름과 주소, 이메일 주소 또는 기타 정보와 같은 기타 데이터로 제한된다.
메리어트는 이 사고를 법 집행기관에 보고하였고 계속해서 조사를 지원하고 있으며, 이미 규제 당국에 통보하기 시작했다.
메리어트의 사장 겸 CEO인 안 소렌슨 (Arne Sorenson)은 “저희는 이번 사고에 대해 진심으로 유감스럽게 생각합니다.”라고 말하며, “저희는 고객들이 마땅히 누려야 할 것은 물론 우리 스스로에 대한 기대에도 미치지 못했습니다. 저희는 고객을 지원할 수 있는 모든 수단을 동원하고 있으며, 이번 일을 더 나은 발전을 위한 교훈으로 삼고 있습니다.”라고 덧붙였다.
안 소렌슨 사장은 이어 “오늘 메리어트는 전 세계 고객들에 대한 우리의 약속을 재확인하고 있습니다. 저희는 전용 웹사이트와 콜센터 운영을 통해 고객의 개인 정보에 관한 질문에 답변할 수 있도록 최선을 다하고 있습니다. 또한 계속해서 법 집행기관의 노력을 지원하고, 개선을 위해 주요 보안전문가들과 협력할 것입니다. 마지막으로 저희는 스타우드 시스템을 단계적으로 제거하고 네트워크의 지속적인 보안 강화를 가속화하기 위해 모든 역량을 집중하고 있습니다.”라고 설명했다.
한편 메리어트는 고객이 자신의 정보를 모니터하고 보호할 수 있도록 아래와 같은 업무를 수행한다
먼저 이번 사고에 대한 질문에 답변하기 위해 전용 웹사이트와 콜센터를 개설했다. 콜센터는 연중무휴로 운영되며 다국어로 제공된다.
또한 메리어트는 2018년 11월 30일부터 스타우드 고객 예약 데이터베이스에 이메일 주소가 있는 피해를 입은 고객들에게 이메일 발송을 시작한다.
그리고 메리어트는 1년 간 웹와처(WebWatcher)에 무료로 등록할 수 있는 기회를 제공한다. 웹와처는 개인정보가 공유되어 있는 인터넷 사이트를 모니터하고, 소비자의 개인정보 흔적이 발견되면 경고 메시지를 보낸다.
규정 및 기타 이유로 인해 웹와처 혹은 이와 유사한 프로그램은 일부 국가에서만 사용 가능하다. 웹와처를 작동시키려면 관련 웹사이트로 이동하여 리스트에 있는 해당 국가를 클릭하고 등록하면 된다.
메리어트에 따르면 2018년 9월 10일 또는 그 이전에 스타우드 호텔의 예약 관련 고객 정보가 포함된 데이터베이스에 무단 접근이 발생한 정황이 확인됐다.
스타우드 브랜드에는 W 호텔, 세인트 레지스, 쉐라톤 호텔 & 리조트, 웨스틴 호텔 & 리조트, 엘리먼트 호텔, 럭셔리 컬렉션, 트리뷰트 포트폴리오, 르 메르디앙 호텔 & 리조트, 포 포인츠 바이 쉐라톤, 디자인 호텔. 스타우드 브랜드의 타임쉐어(timeshare) 호텔도 포함된다.
2018년 9월 8일, 메리어트는 미국 내 스타우드 고객 예약 데이터베이스에 접근하려는 시도와 관련하여 내부 보안 시스템으로부터 경보를 받았으며, 신속히 주요 보안전문가들에게 의뢰하여 발생한 문제를 파악했다.
메리어트는 조사를 통해 2014년 이후 스타우드 네트워크에 무단 접근이 있었음을 발견했고, 무단으로 정보를 복사, 암호화하고 이를 제거하려는 조치를 취했다는 사실을 발견했다. 그리고 2018년 11월 19일, 메리어트는 정보를 해독하여 그 내용이 스타우드 고객 예약 데이터베이스로부터 나온 것이라는 사실을 확인했다.
메리어트는 데이터베이스에서 중복된 정보에 대한 확인을 끝내지 못했지만 스타우드 호텔에 예약한 약 5억명의 고객에 대한 정보가 포함되어 있다고 추측하고 있다.
이 중 약 3억 2700만명의 고객 정보는 이름, 주소, 전화번호, 이메일 주소, 여권번호, 스타우드 프리퍼드 게스트(“SPG”) 계정 정보, 생년월일, 성별, 도착 및 출발 정보, 예약 날짜 및 선호하는 커뮤니케이션 채널의 조합을 포함한다.
일부 정보에는 신용카드 번호 및 유효기간도 포함되어 있지만 신용카드 번호는 AES-128(고급 암호 표준, Advanced Encryption Standard)을 사용해 암호화 되어있다. 신용카드 번호를 해독하려면 두 가지 요소가 필요한데, 이 시점에서 메리어트는 두 가지 모두가 쓰여진 가능성을 배제할 수 없다고 설명했다. 나머지 고객들의 정보의 경우, 이름과 주소, 이메일 주소 또는 기타 정보와 같은 기타 데이터로 제한된다.
메리어트는 이 사고를 법 집행기관에 보고하였고 계속해서 조사를 지원하고 있으며, 이미 규제 당국에 통보하기 시작했다.
메리어트의 사장 겸 CEO인 안 소렌슨 (Arne Sorenson)은 “저희는 이번 사고에 대해 진심으로 유감스럽게 생각합니다.”라고 말하며, “저희는 고객들이 마땅히 누려야 할 것은 물론 우리 스스로에 대한 기대에도 미치지 못했습니다. 저희는 고객을 지원할 수 있는 모든 수단을 동원하고 있으며, 이번 일을 더 나은 발전을 위한 교훈으로 삼고 있습니다.”라고 덧붙였다.
안 소렌슨 사장은 이어 “오늘 메리어트는 전 세계 고객들에 대한 우리의 약속을 재확인하고 있습니다. 저희는 전용 웹사이트와 콜센터 운영을 통해 고객의 개인 정보에 관한 질문에 답변할 수 있도록 최선을 다하고 있습니다. 또한 계속해서 법 집행기관의 노력을 지원하고, 개선을 위해 주요 보안전문가들과 협력할 것입니다. 마지막으로 저희는 스타우드 시스템을 단계적으로 제거하고 네트워크의 지속적인 보안 강화를 가속화하기 위해 모든 역량을 집중하고 있습니다.”라고 설명했다.
한편 메리어트는 고객이 자신의 정보를 모니터하고 보호할 수 있도록 아래와 같은 업무를 수행한다
먼저 이번 사고에 대한 질문에 답변하기 위해 전용 웹사이트와 콜센터를 개설했다. 콜센터는 연중무휴로 운영되며 다국어로 제공된다.
또한 메리어트는 2018년 11월 30일부터 스타우드 고객 예약 데이터베이스에 이메일 주소가 있는 피해를 입은 고객들에게 이메일 발송을 시작한다.
그리고 메리어트는 1년 간 웹와처(WebWatcher)에 무료로 등록할 수 있는 기회를 제공한다. 웹와처는 개인정보가 공유되어 있는 인터넷 사이트를 모니터하고, 소비자의 개인정보 흔적이 발견되면 경고 메시지를 보낸다.
규정 및 기타 이유로 인해 웹와처 혹은 이와 유사한 프로그램은 일부 국가에서만 사용 가능하다. 웹와처를 작동시키려면 관련 웹사이트로 이동하여 리스트에 있는 해당 국가를 클릭하고 등록하면 된다.
<저작권자 ⓒ ‘존중받는 개인, 부강한 대한민국’ 시대, 무단전재 및 재배포 금지>
<보도자료 및 기사 제보 ( [email protected] )>
-
강인귀 기자
머니S 강인귀입니다
