당신의 여행 정보, 해커 손에 넘어갔다
Booking.com이 해킹으로 고객 이름·이메일·주소·전화번호·예약 정보가 유출됐다고 인정했다. 피싱 공격까지 이어진 이번 사태가 한국 여행자에게 의미하는 것.
어느 날 WhatsApp으로 메시지가 왔다. 발신자는 Booking.com이었고, 내용에는 내 예약 날짜, 숙소 이름, 심지어 체크인 시간까지 정확히 적혀 있었다. 문제는 그 메시지가 Booking.com이 아니라 해커가 보낸 것이었다는 점이다.
무슨 일이 일어났나
Booking.com은 지난주 고객들에게 공식 통보를 보냈다. 내용은 명확했다. "무단 제3자가 귀하의 예약 관련 특정 정보에 접근했을 수 있습니다." 유출된 정보에는 이름, 이메일 주소, 실제 거주지 주소, 전화번호, 예약 세부 정보, 그리고 "숙소와 공유했을 수 있는 모든 정보"가 포함된다. 회사 측은 금융 정보는 유출되지 않았다고 밝혔지만, 그 외 구체적인 질문—피해 고객이 몇 명인지, 어떤 경로로 침해가 발생했는지—에는 답하지 않았다.
이 사건이 단순한 데이터 유출로 끝나지 않는 이유가 있다. Reddit에 통보 내용을 최초 공개한 사용자는 TechCrunch에 "2주 전에 이미 예약 정보와 개인정보가 담긴 피싱 메시지를 WhatsApp으로 받았다"고 밝혔다. 해커들이 훔친 정보를 즉각 무기화해 2차 공격에 활용하고 있다는 뜻이다.
Booking.com 대변인은 "의심스러운 활동을 발견한 즉시 차단 조치를 취했고, 해당 예약의 PIN 번호를 업데이트했다"고 밝혔다. 그러나 이미 정보가 외부로 나간 뒤의 조치다.
이번이 처음이 아니다
2024년, TechCrunch는 Booking.com 관련 또 다른 사건을 보도했다. 해커들이 여러 호텔의 컴퓨터에 스파이웨어(pcTattletale)를 심었고, 한 직원이 Booking.com 관리자 포털에 로그인한 상태에서 화면이 그대로 캡처됐다. 당시 사건은 Booking.com 플랫폼 자체의 취약성이 아니라 파트너 호텔의 보안 허점을 노린 것이었다. 이번 사건의 정확한 경로는 아직 공개되지 않았다.
Booking.com의 규모를 생각하면 이 사건의 무게가 달라진다. 회사 웹사이트에 따르면 2010년 이후 누적 예약 고객 수는 68억 명이다. 전 세계 인구의 거의 대부분이 잠재적 피해자 풀에 속한다는 의미다.
한국 여행자가 지금 해야 할 것
한국은 Booking.com의 주요 시장 중 하나다. 유럽·동남아 여행 시 Booking.com을 통해 숙소를 예약하는 한국 여행자 수는 매년 수백만 명에 달한다. 이번 유출이 한국 사용자에게 구체적으로 의미하는 바는 세 가지다.
첫째, 피싱 공격에 즉각 주의해야 한다. 해커들은 이미 훔친 예약 정보를 활용해 진짜처럼 보이는 메시지를 보내고 있다. Booking.com 또는 예약 숙소를 사칭한 WhatsApp·문자·이메일 메시지에서 링크 클릭이나 결제 정보 입력을 요구하면 무조건 의심해야 한다.
둘째, 이메일·전화번호 조합이 유출됐다는 사실은 스팸 전화, 보이스피싱, 계정 탈취 시도로 이어질 수 있다. 특히 동일한 이메일·비밀번호를 여러 서비스에 사용하고 있다면 지금 당장 변경이 필요하다.
셋째, 주소 정보까지 유출됐다는 점은 단순한 디지털 위협을 넘는다. 실물 사기 우편이나 더 정교한 사회공학 공격에 활용될 수 있다.
플랫폼의 딜레마: 편의성 vs 보안
Booking.com이 이토록 매력적인 해킹 타깃인 이유는 아이러니하게도 그 편의성에 있다. 예약 정보에는 단순한 연락처를 넘어 언제, 어디로 이동하는지, 어떤 숙소를 선호하는지, 동반자 정보까지 담겨 있다. 이는 단순한 개인정보가 아니라 행동 패턴 데이터다. 해커 입장에서는 금융 정보보다 더 정교한 사기에 활용할 수 있는 재료다.
여기서 기업의 입장도 살펴볼 필요가 있다. Booking.com은 수천 개의 파트너 호텔, 숙소 제공자와 연결된 복잡한 생태계를 운영한다. 보안 취약점은 Booking.com 본사만의 문제가 아니라 이 생태계 전체의 가장 약한 고리에서 발생할 수 있다. 규제 당국은 플랫폼 운영사가 파트너 보안까지 책임져야 하는지, 아니면 각 파트너가 독립적으로 책임지는 구조가 맞는지를 놓고 오랫동안 논쟁해왔다.
소비자 입장에서는 선택지가 많지 않다. Booking.com, Airbnb, Agoda 등 주요 여행 플랫폼 모두 유사한 구조적 취약성을 안고 있다. 편의성을 위해 데이터를 제공하는 것이 불가피한 현실에서, 소비자가 할 수 있는 방어는 사후 대응뿐이라는 한계가 있다.
본 콘텐츠는 AI가 원문 기사를 기반으로 요약 및 분석한 것입니다. 정확성을 위해 노력하지만 오류가 있을 수 있으며, 원문 확인을 권장합니다.
관련 기사
해킹 그룹 샤이니헌터스가 기업 모니터링 소프트웨어 아노닷을 침해해 최소 12개 기업 데이터를 탈취했다. 록스타 게임즈도 피해 기업 중 하나로 확인됐다. 공급망 해킹의 구조와 한국 기업에 주는 시사점을 분석한다.
트럼프 행정부가 월가 은행들에 Anthropic의 Mythos AI 모델 테스트를 권고했다. 동시에 같은 회사를 법원에서 상대하고 있는 아이러니한 상황, 그 이면을 들여다본다.
링크드인이 사용자 브라우저 확장 프로그램을 무단 스캔했다는 혐의로 미국에서 집단소송 2건이 제기됐다. 개인정보 침해 논란의 배경과 의미를 짚는다.
앤트로픽이 신형 AI 모델 클로드 마이토스 프리뷰와 함께 사이버보안 산업 컨소시엄 프로젝트 글래스윙을 출범했다. 마이크로소프트·구글·애플 등 50개 이상 기업이 참여하는 이 협력체가 의미하는 것은 무엇인가.
해킹 그룹 샤이니헌터스가 기업 모니터링 소프트웨어 아노닷을 침해해 최소 12개 기업 데이터를 탈취했다. 록스타 게임즈도 피해 기업 중 하나로 확인됐다. 공급망 해킹의 구조와 한국 기업에 주는 시사점을 분석한다.
트럼프 행정부가 월가 은행들에 Anthropic의 Mythos AI 모델 테스트를 권고했다. 동시에 같은 회사를 법원에서 상대하고 있는 아이러니한 상황, 그 이면을 들여다본다.
링크드인이 사용자 브라우저 확장 프로그램을 무단 스캔했다는 혐의로 미국에서 집단소송 2건이 제기됐다. 개인정보 침해 논란의 배경과 의미를 짚는다.
앤트로픽이 신형 AI 모델 클로드 마이토스 프리뷰와 함께 사이버보안 산업 컨소시엄 프로젝트 글래스윙을 출범했다. 마이크로소프트·구글·애플 등 50개 이상 기업이 참여하는 이 협력체가 의미하는 것은 무엇인가.
의견
이 기사에 대한 생각을 나눠주세요
로그인하고 의견을 남겨보세요