"피해자 대부분이 유출 사실조차 모르는 듯"
메리어트 '스타우드' 호텔에서 고객정보가 유출된 가운데, 한국에서도 피해자가 속출하고 있는 것으로 드러났다.
한국 메리어트 측은 피해 사실을 인지한 고객이 연락하면 한국어로 대응하고 있지만, 애초 유출을 알린 메일은 영문으로 발송해 '사고 사실을 축소하려는 것이 아니냐'는 비판을 받고 있다. 영문으로 발송된 메일은 한국인 피해자가 주의 깊게 보지 않을 가능성이 크기 때문이다.
메리어트 인터내셔널은 자사 '스타우드' 호텔을 이용한 약 5억명의 고객정보가 유출됐다고 지난달 30일 밝혔다. 이 가운데 3억2700만명은 △ 이름 △ 주소 △ 전화번호 △ 이메일 △ 여권번호 등이 유출됐고, 나머지 고객 중 일부는 결제카드번호와 결제카드만료일자까지 유출됐다.
메리어트 인터내셔널은 리츠 칼튼을 비롯한 30개 호텔 브랜드와 전세계 6700여 호텔을 소유하고 있는 세계 최대 호텔 체인이다. 메리어트는 2016년 쉐라톤, 웨스틴 호텔 등을 소유한 '스타우드'를 인수했다.
메리어트는 지난 9월 8일 처음 해킹 사실을 인지했으며 '스타우드' 인수 전인 2014년부터 해킹이 시작됐다고 밝혔다. 2014년부터 2018년 9월까지 '스타우드'계 호텔을 이용한 고객들이 정보 유출 피해를 입었다.
유출 발표 이후, 메리어트는 피해 고객들에게 개별적으로 이메일을 발송해 유출 사실을 알렸으며 전세계 각국에 콜센터를 운영하면서 피해 사실 접수를 받고 있다고 했다. 그러나 이런 대응이 충분하지 않다는 지적이 나온다. 특히 미국 밖의 국가에서는 형식적인 대응에 그치고 있다는 비판이 인다.
메리어트는 미국 시민을 대상으로 여권 갱신 비용(110달러)을 보전해주고 있는 서비스도 함께 진행하고 있다. 다만 유출된 정보가 도용됐다는 정황이 포착될 때에 한해서다. 피해자들은 신원도용 감시서비스에 가입할 수 있는데, 이 서비스에서 도용 사실을 통보하는 피해자에 한해 비용을 보전해주겠다는 것이다.
한국인 피해자의 경우, 유출 안내 메일도 모두 영문으로 발송돼 애초 피해 사실 자체를 모르고 있을 가능성이 크다는 지적이 제기된다.
한국인 피해자 A(49)씨는 "해외 컨퍼런스 참석 당시 숙소가 메리어트 '스타우드' 계열 호텔이었다"며 "같이 갔던 한국인 40명가량의 정보가 모두 유출된 것 같다"고 말했다. A씨는 "유출 안내 메일을 영문으로 받았다"면서 "미국은 국토안보부와 국무부 주도로 사고에 대응하고 있지만 여행객을 포함한 한국인 피해자들은 유출 사실조차 모르는 것 같다"고 했다.
또 "여권번호와 전화번호, 이메일 주소 등이 함께 유출됐는데 이 정보들만으로도 가입할 수 있는 온라인 서비스들이 많다"고 우려했다. 즉 "온라인 서비스에서 도용할 수 있는 정보는 이미 상당수 유출된 것"이라는 설명이다.
아울러 메리어트 한국어 홈페이지 상단의 '보안 사고에 대한 추가 정보는 여기를 클릭하라'고 돼 있는 링크를 확인하더라도, 해당 페이지는 모두 영문으로 쓰여 있는 상태다.
이에 대해 한국 메리어트 측 관계자는 "한국에서만 별도로 대응하고 있는 사항은 없다"고 밝혔다. 이 관계자는 "유출과 관련해 전용 웹사이트와 콜센터를 개설해 한국인 직원이 대응하고 있다"며 "피해 고객이 메일을 보내거나 호텔을 직접 방문할 때도 대응하고 있다"고 강조했다.
그러나 "개인적으로 피해 사실을 확인할 수 있을 뿐, 한국인 피해자가 총 몇명인지는 밝힐 수 없다"고 했다. 이 관계자는 "해킹된 데이터베이스가 각국 호텔에 있는 것이 아니라 전세계에서 공통된 하나의 데이터베이스에 있는 것이기 때문에 호텔별로 대응할 수 있는 것은 없다"고 말했다.
KPI뉴스 / 오다인 기자 odi@kpinews.kr
[저작권자ⓒ KPI뉴스. 무단전재-재배포 금지]
