당신의 여행 정보, 해커 손에 넘어갔다
Booking.com이 해킹으로 고객 이름·이메일·주소·전화번호·예약 정보가 유출됐다고 인정했다. 피싱 공격까지 이어진 이번 사태가 한국 여행자에게 의미하는 것.
어느 날 WhatsApp으로 메시지가 왔다. 발신자는 Booking.com이었고, 내용에는 내 예약 날짜, 숙소 이름, 심지어 체크인 시간까지 정확히 적혀 있었다. 문제는 그 메시지가 Booking.com이 아니라 해커가 보낸 것이었다는 점이다.
무슨 일이 일어났나
Booking.com은 지난주 고객들에게 공식 통보를 보냈다. 내용은 명확했다. "무단 제3자가 귀하의 예약 관련 특정 정보에 접근했을 수 있습니다." 유출된 정보에는 이름, 이메일 주소, 실제 거주지 주소, 전화번호, 예약 세부 정보, 그리고 "숙소와 공유했을 수 있는 모든 정보"가 포함된다. 회사 측은 금융 정보는 유출되지 않았다고 밝혔지만, 그 외 구체적인 질문—피해 고객이 몇 명인지, 어떤 경로로 침해가 발생했는지—에는 답하지 않았다.
이 사건이 단순한 데이터 유출로 끝나지 않는 이유가 있다. Reddit에 통보 내용을 최초 공개한 사용자는 TechCrunch에 "2주 전에 이미 예약 정보와 개인정보가 담긴 피싱 메시지를 WhatsApp으로 받았다"고 밝혔다. 해커들이 훔친 정보를 즉각 무기화해 2차 공격에 활용하고 있다는 뜻이다.
Booking.com 대변인은 "의심스러운 활동을 발견한 즉시 차단 조치를 취했고, 해당 예약의 PIN 번호를 업데이트했다"고 밝혔다. 그러나 이미 정보가 외부로 나간 뒤의 조치다.
이번이 처음이 아니다
2024년, TechCrunch는 Booking.com 관련 또 다른 사건을 보도했다. 해커들이 여러 호텔의 컴퓨터에 스파이웨어(pcTattletale)를 심었고, 한 직원이 Booking.com 관리자 포털에 로그인한 상태에서 화면이 그대로 캡처됐다. 당시 사건은 Booking.com 플랫폼 자체의 취약성이 아니라 파트너 호텔의 보안 허점을 노린 것이었다. 이번 사건의 정확한 경로는 아직 공개되지 않았다.
Booking.com의 규모를 생각하면 이 사건의 무게가 달라진다. 회사 웹사이트에 따르면 2010년 이후 누적 예약 고객 수는 68억 명이다. 전 세계 인구의 거의 대부분이 잠재적 피해자 풀에 속한다는 의미다.
한국 여행자가 지금 해야 할 것
한국은 Booking.com의 주요 시장 중 하나다. 유럽·동남아 여행 시 Booking.com을 통해 숙소를 예약하는 한국 여행자 수는 매년 수백만 명에 달한다. 이번 유출이 한국 사용자에게 구체적으로 의미하는 바는 세 가지다.
첫째, 피싱 공격에 즉각 주의해야 한다. 해커들은 이미 훔친 예약 정보를 활용해 진짜처럼 보이는 메시지를 보내고 있다. Booking.com 또는 예약 숙소를 사칭한 WhatsApp·문자·이메일 메시지에서 링크 클릭이나 결제 정보 입력을 요구하면 무조건 의심해야 한다.
둘째, 이메일·전화번호 조합이 유출됐다는 사실은 스팸 전화, 보이스피싱, 계정 탈취 시도로 이어질 수 있다. 특히 동일한 이메일·비밀번호를 여러 서비스에 사용하고 있다면 지금 당장 변경이 필요하다.
셋째, 주소 정보까지 유출됐다는 점은 단순한 디지털 위협을 넘는다. 실물 사기 우편이나 더 정교한 사회공학 공격에 활용될 수 있다.
플랫폼의 딜레마: 편의성 vs 보안
Booking.com이 이토록 매력적인 해킹 타깃인 이유는 아이러니하게도 그 편의성에 있다. 예약 정보에는 단순한 연락처를 넘어 언제, 어디로 이동하는지, 어떤 숙소를 선호하는지, 동반자 정보까지 담겨 있다. 이는 단순한 개인정보가 아니라 행동 패턴 데이터다. 해커 입장에서는 금융 정보보다 더 정교한 사기에 활용할 수 있는 재료다.
여기서 기업의 입장도 살펴볼 필요가 있다. Booking.com은 수천 개의 파트너 호텔, 숙소 제공자와 연결된 복잡한 생태계를 운영한다. 보안 취약점은 Booking.com 본사만의 문제가 아니라 이 생태계 전체의 가장 약한 고리에서 발생할 수 있다. 규제 당국은 플랫폼 운영사가 파트너 보안까지 책임져야 하는지, 아니면 각 파트너가 독립적으로 책임지는 구조가 맞는지를 놓고 오랫동안 논쟁해왔다.
소비자 입장에서는 선택지가 많지 않다. Booking.com, Airbnb, Agoda 등 주요 여행 플랫폼 모두 유사한 구조적 취약성을 안고 있다. 편의성을 위해 데이터를 제공하는 것이 불가피한 현실에서, 소비자가 할 수 있는 방어는 사후 대응뿐이라는 한계가 있다.
기자
관련 기사
중국산 로봇 잔디깎기 야보(Yarbo)의 보안 취약점이 공개됐다. GPS 좌표, 와이파이 비밀번호, 이메일까지 노출. 기업은 사과하고 원격접속을 차단했지만, 스마트홈 시대의 근본 질문은 남는다.
리눅스 커널 전반을 겨냥한 보안 취약점 'CopyFail'이 공개됐다. 2017년 이후 출시된 거의 모든 리눅스 배포판에 영향을 미치며, 미국 정부는 5월 15일까지 패치를 의무화했다.
ChatGPT 등장 이후 AI 기반 사이버범죄가 폭발적으로 증가하고 있다. 피싱부터 딥페이크까지, 더 빠르고 저렴해진 사기의 시대—우리는 얼마나 준비되어 있는가?
Anthropic의 최강 보안 AI '미토스'가 디스코드 사용자들에게 뚫렸다. 동시에 북한 해커는 AI로 악성코드를 짜고, 모질라는 AI로 271개 취약점을 잡았다. 사이버보안의 새 질서가 형성되고 있다.
중국산 로봇 잔디깎기 야보(Yarbo)의 보안 취약점이 공개됐다. GPS 좌표, 와이파이 비밀번호, 이메일까지 노출. 기업은 사과하고 원격접속을 차단했지만, 스마트홈 시대의 근본 질문은 남는다.
리눅스 커널 전반을 겨냥한 보안 취약점 'CopyFail'이 공개됐다. 2017년 이후 출시된 거의 모든 리눅스 배포판에 영향을 미치며, 미국 정부는 5월 15일까지 패치를 의무화했다.
ChatGPT 등장 이후 AI 기반 사이버범죄가 폭발적으로 증가하고 있다. 피싱부터 딥페이크까지, 더 빠르고 저렴해진 사기의 시대—우리는 얼마나 준비되어 있는가?
Anthropic의 최강 보안 AI '미토스'가 디스코드 사용자들에게 뚫렸다. 동시에 북한 해커는 AI로 악성코드를 짜고, 모질라는 AI로 271개 취약점을 잡았다. 사이버보안의 새 질서가 형성되고 있다.
의견
이 기사에 대한 생각을 나눠주세요
로그인하고 의견을 남겨보세요