호텔 투숙객 데이터 침해로 500만 명의 개인정보 유출

호텔 투숙객 데이터, 텔레그램을 통해 실시간으로 탈취 및 유출

Cybernews의 보안 연구원들이 여러 국가의 호텔 투숙객을 대상으로 한 대규모 데이터 탈취 작전을 발견했습니다. 이번 공격으로 호스피탈리티 관리 플랫폼의 500개 이상의 계정이 침해되어 전 세계 약 500만 명의 여행객 개인정보가 노출되었습니다. 이번 침해 사고가 특히 우려스러운 이유는 단순히 규모 때문만이 아니라, 데이터 유포 방식에 있습니다. 탈취된 데이터는 보호되지 않은 서버에 저장되는 동시에 텔레그램 채널을 통해 실시간으로 유출되고 있었습니다.

공격 대상이 된 플랫폼으로는 스페인에 본사를 둔 Chekin과 오스트리아에 본사를 둔 Gastrodat이 포함되며, 두 플랫폼 모두 호텔 및 숙박 시설 관리자들이 투숙객 체크인과 행정 데이터를 처리하는 데 사용됩니다. 해커들은 자동화된 스크립트를 이용해 침해된 계정에서 투숙객 이름, 이메일 주소, 전화번호, 정부 발급 신분증 정보를 체계적으로 수집했습니다.

공격 방식

이번 작전은 하나의 플랫폼에 대한 대규모 단일 침해가 아닌 자격 증명 탈취 방식에 의존했습니다. 공격자들은 500개 이상의 개별 숙박 시설 관리 계정에 접근함으로써 자동화 도구를 사용해 각 계정에서 투숙객 데이터를 추출할 수 있었습니다. 이러한 유형의 공격은 크리덴셜 스터핑 또는 계정 탈취라고도 불리며, 탈취되거나 취약한 로그인 자격 증명을 이용해 정상적인 시스템에 접근하는 방식입니다.

일단 내부에 접근한 후, 스크립트는 해당 계정에 포함된 모든 개인 데이터를 스크래핑했습니다. 여기에는 투숙객이 호텔 체크인 시 제공해야 하는 정보, 즉 법적 성명, 연락처 정보, 신분증 서류 등이 포함됩니다. 이러한 데이터의 조합은 신원 도용, 피싱 캠페인, SIM 스와핑 및 기타 사기 행위에 활용될 수 있기 때문에 범죄자들에게 특히 가치 있는 정보입니다.

탈취된 데이터를 기존의 다크웹 마켓플레이스에서 판매하는 대신 텔레그램을 통해 유포하기로 한 결정은 사이버 범죄자들의 운영 방식이 더 광범위하게 변화하고 있음을 보여줍니다. 텔레그램은 사용 편의성과 비교적 관대한 콘텐츠 관리 정책으로 인해 유출 데이터의 배포 채널로 점점 더 많이 활용되고 있습니다.

여러분이 알아야 할 사항

언제든 Chekin이나 Gastrodat을 투숙객 관리에 사용하는 호텔에 숙박한 적이 있다면, 귀하의 개인정보가 이번 데이터셋에 포함되어 있을 수 있습니다. 직접적인 피해를 받지 않더라도, 이번 사건은 여행객들이 직면한 더 광범위한 취약성을 잘 보여줍니다. 호텔에 체크인할 때 우리는 민감한 개인정보를 제공하지만, 해당 정보가 어떻게 저장되고, 누가 접근할 수 있으며, 해당 시스템이 얼마나 안전하게 관리되는지에 대해서는 거의 알 수 없습니다.

이번에 노출된 데이터는 단순한 이메일과 비밀번호 조합을 훨씬 넘어섭니다. 정부 발급 신분증 정보와 성명, 전화번호, 이메일 주소가 결합되면, 악의적인 행위자는 귀하를 사칭하거나, 귀하의 이름으로 계정을 개설하거나, 귀하를 특정 대상으로 한 매우 설득력 있는 피싱 메시지를 작성하기에 충분한 정보를 확보하게 됩니다.

호텔과 숙박 시설 관리 플랫폼은 대규모 인원의 풍부한 개인 데이터를 수집하는 반면, 금융 기관이나 주요 기술 기업에 비해 보안 인프라가 덜 엄격한 경우가 많기 때문에 매력적인 공격 대상이 됩니다.

피해를 줄이기 위해 취할 수 있는 조치

사업체에 데이터를 제공한 후 어떤 일이 발생할지 항상 통제할 수는 없지만, 문제가 발생했을 때 피해를 최소화하기 위한 조치를 취할 수 있습니다.

계정과 신원을 모니터링하세요. 자주 여행을 한다면, 알려진 데이터 침해 사고나 공개 웹에 귀하의 개인정보가 노출될 경우 알림을 보내주는 신원 모니터링 서비스 이용을 고려해 보세요.

여행 예약에는 별도의 이메일 주소를 사용하세요. 별칭 이메일 주소 생성을 허용하는 서비스를 이용하면, 하나의 계정이 침해되더라도 피해 범위를 제한할 수 있습니다.

원치 않는 연락에는 주의를 기울이세요. 최근 호텔 숙박을 언급하는 이메일, 문자 메시지, 또는 전화를 받는다면 주의하세요. 공격자들은 이러한 세부 정보를 활용해 피싱 시도를 더욱 설득력 있게 만듭니다.

여행 중 기기와 연결을 보안하세요. 호텔과 공항의 공공 네트워크는 데이터 가로채기의 흔한 진입점입니다. 공공 Wi-Fi에 연결할 때 VPN을 사용하면 트래픽을 암호화하여 활동이 모니터링되거나 가로채질 위험을 줄일 수 있습니다.

플랫폼이 귀하에 대해 보유한 데이터를 확인하세요. 특히 유럽연합 내 많은 국가에서는 기업이 보유한 개인 데이터를 요청하고 삭제를 요구할 권리가 있습니다. Chekin이나 Gastrodat과 같은 플랫폼을 사용하는 숙박 시설에 투숙한 경우, 해당 플랫폼에 직접 연락할 수 있습니다.

이번 침해 사고는 우리의 개인 데이터가 우리와 함께 이동하며, 종종 우리가 보거나 통제할 수 없는 방식으로 이루어진다는 사실을 상기시켜 줍니다. 내 정보가 어디로 가는지 파악하고, 노출을 제한하기 위한 실질적인 조치를 취하는 것이 현재 일반 여행객들이 활용할 수 있는 가장 효과적인 방어 수단입니다.