자유투어가 고객 정보 20만 건을 유출한 것으로 추정된다. 정확한 유출 규모와 경로는 수사가 끝난 후 밝혀질 전망이다.
해커는 하나투어 사건 때처럼 자유투어에 가상화폐를 요구한 정황이다. 해커는 자유투어에 고객 정보를 인질로 잡고 몸값으로 비트코인을 요구했다.
하나투어에 이어 자유투어까지 상세한 고객 정보가 모이는 여행사의 부실한 정보보호 관리는 여전하다. 소비자는 여행사에 개인정보를 입력하고 여행갈 때마다 사용한다. ID와 비밀번호는 물론 주민등록번호, 여권번호, 숙박, 비행일정 등 민감한 정보가 모인다. 해커는 민감 정보를 탈취해 기업을 협박하거나 암시장에 정보를 판매한다.
자유투어는 12월 11일 16시 해커 조직에 의해 일부 고객 개인정보가 침해된 정황을 파악했다. 자유투어는 2012년부터 2017년 9월 사이 고객 중 일부 이름, 생년월일, 휴대전화번호, 이메일, 주소, 홈페이지 이용자 ID, 암호화된 비밀번호가 유출됐다고 밝혔다. 하나투어는 2004년 10월부터 2007년 8월 사이 고객 정보였지만 자유투어는 올해 9월까지 최신 정보가 대거 유출됐다.
자유투어 관계자는 “분당에 위치한 IDC에 고객 정보를 저장했는데 침해사고가 발생했다”고 밝혔다. 과실 여부는 경찰과 방송통신위원회, 한국인터넷진흥원 합동 수사 결과 밝혀진다.
자유투어는 개인정보 침해사고 전담센터 사이트를 개설하고 침해사실 여부와 항목 확인 서비스를 제공한다. 자유투어 관계자는 “이번 사고로 유출된 개인정보로 인한 피해가 입증되면 조사를 거쳐 구제한다”고 말했다.
한 보안전문가는 “여행사는 민감한 개인정보가 모이는 곳이지만 보안 관리는 매우 취약하다”면서 “여행을 위해 최신 개인정보가 업데이트돼 인터넷 암시장에서도 인기 높은 데이터베이스(DB)”라고 설명했다. 그는 “정보를 사려는 수요는 높은데 보안은 허술해 지속한 공격이 예상 된다”고 덧붙였다.
김인순 보안 전문기자 insoon@etnews.com
