호텔스닷컴, 익스피디아, 부킹닷컴…. 공통점은. 유명 호텔 예약 앱이고 개인정보관리에 그다지 관심을 기울이지 않는다는 거다. 개인정보가 무방비 노출됐다.

11월6일(현지시간) <웹사이트 플래닛>은 유명 호텔 예약 앱의 엉성한 보안 정책에 사용자 개인정보 1천만건 이상이 무방비 노출됐다고 경고했다. 여기 거론된 서비스 사용자들은 심각한 보안 위협에 노출된 셈이고 주의가 요구된다.

유명 호텔 예약 앱, 개인정보 1천만건 노출

이번 개인정보 노출 사고는 스페인 프레스티지 소프트웨어가 공급한 온라인 호텔 예약 플랫폼 ‘클라우드 호스피탈리티’가 호텔 예약자, 여행사로부터 받은 정보를 암호화 없이 잘못 구성된 아마존 웹서비스 S3 버킷에 그대로 저장하면서 시작됐다.

클라우드 호스피탈리티는 서로 다른 서비스에서 같은 객실이 중복 예약되는 것을 방지하고 관리하는 플랫폼으로 전 세계 숙박 시설을 잇는 연결고리다. 아고다, 아마데우스, 부킹닷컴, 익스피디아, 호텔스닷컴, 호텔배드, 사브레 등 다수의 호텔 예약 앱이 쓰고 있다.

노출된 개인정보에는 이름, 이메일, 사회보장번호, 전화번호, 카드 번호, CVV 만료일, 예약 비용, 숙박 일정, 투숙 인원, 동행자 이름, 추가 요청 메시지가 포함돼 있다. 사실상 사용자의 거의 모든 정보가 노출된 거다.

24.4GB 용량의 1천만 건 이상의 데이터가 노출됐고, 2013년 정보까지 포함된 것으로 확인됐다. 해당 데이터가 언제부터 노출됐는지는 확실치 않다. <웹사이트 플래닛>은 뱔견 즉시 이를 통보했고 현재 데이터 접근이 차단된 상황이다.

노출된 데이터는 서비스 사용자의 중요 정보가 다수 포함돼 피싱 메일, 온라인 사기에 사용될 경우 걷잡을 수 없는 2차 피해가 예상된다. 다행인 것은 현재까지 확인된 피해는 없다는 거다. 다만, 언제 처음 노출되었는지 확인이 되지 않는 상황이므로 안심은 이르다.

​소잃고 외양간 고치는 격이다. 코로나19 팬데믹 선언에 방치해뒀던 호텔 예약 앱 비밀번호라도 일단 바꿔야겠다.

공공정보가 된지 오래인 개인 정보
얼리어답터 뉴스에디터
얼리어답터 뉴스 에디터입니다.