작성일
2024.09.20
수정일
2024.09.20
작성자
관리자
조회수
13

모두투어, 지난 6월 해킹 사고 인지했는데... 3개월 지나 늦장 공지

한글·영문 이름, 아이디, 생년월일, 휴대전화번호 등 7개 항목...정보주체에 따라 상이
6월 10일 불법 침입 흔적 발견, 7월 12일 KISA로부터 개인정보 유출 확인 받아
사고 이후 한 달 지나 개인정보위 신고, 그로부터 2개월 지난 9월 13일 홈페이지 사과문
피해 규모도 아직 파악 안 돼...2차 피해 방지 위해 비밀번호 변경 권고


여행사업·호텔사업을 영위하고 있는 모두투어에서 최근 회원 개인정보가 유출된 것이 확인됐다며 홈페이지에 사과문을 공지했다. 모두투어의 개인정보 유출은 홈페이지 내 악성코드 삽입으로 인해 발생했으며, 이름, 아이디, 생년월일, 휴대전화번호 등 7개 항목이다. 하지만 모두투어 측은 이번 사고를 올해 6월 10일에 인지했는데도 개인정보보호위원회에는 한 달이 지난 7월 12일에야 신고했다. 그로부터도 2개월이 지난 9월 13일 홈페이지를 통해 개인정보 유출 사과문을 올려 늦장 공지에 대한 비판이 커지고 있다.



     ▲모두투어는 올해 6월 홈페이지 내 악성코드가 삽입돼 회원정보가 유출된 것으로 확인됐다고 최근 공지했다[자료=모두투어 홈페이지]


모두투어 측은 “올해 6월 무렵 당사 홈페이지 내 악성코드가 삽입돼 회원정보와 비회원으로 예약 시 입력된 정보 중 일부가 유출된 것을 확인했다”며 “유출된 개인정보 항목은 한글 이름, 영문 이름, 생년월일, 휴대전화번호, CI(연계정보), DI(중복정보) 등 7개 항목”이라고 밝혔다. 모두투어는 이 같은 피해 사실에 대한 안내를 13일 홈페이지 팝업을 통해 공지했다.

회사는 유출 사실을 인지한 직후 해당 악성코드를 즉시 삭제했으며, 외부로부터 무단으로 접속된 IP 차단과 함께 추가적인 홈페이지 취약점 점검 및 보완조치를 했다. 이와 함께 보안을 강화하기 위해 침입방지 시스템, 웹방화벽, 웹쉘탐지 시스템 등 보안장비의 보안 수준을 높이고 지속해서 모니터링하고 있다고 설명했다.

회사는 “이번 사고로 유출된 개인정보를 이용해 웹사이트 명의도용, 보이스피싱, 스팸문자 등 2차 피해의 우려가 있을 수 있다”며 “비밀번호가 유출된 것은 아니지만 혹시 모를 피해를 막기 위해 비밀번호를 변경할 것을 권고한다”고 당부했다.

모두투어는 피해접수를 위해 정보보호 고객응대팀의 유선전화번호와 이메일 주소를 함께 안내하며 도움이 필요하거나 기타 궁금한 내용이 있으면 연락해줄 것을 요청했다.

사과문에서는 “다시 한 번 사과의 말씀을 드리며, 당사는 앞으로 이와 같은 사고가 발생하지 않도록 보안조치를 더욱 강화하고, 고객님들의 개인정보 보호를 위해 최선의 노력을 다하겠다”며 재차 사과의 뜻을 전했다.

이번 사고와 관련해 모두투어 대외협력부 관계자는 “6월 10일에 당시 홈페이지에서 외부인이 불법으로 침입한 흔적을 발견했으며 다음날 KISA에 신고하고, 7월 11일에 개인정보가 유출된 것으로 확인됐다는 연락을 받았다”고 밝혔다. 이어 “KISA 연락을 받은 뒤 7월 12일에 개인정보보호위원회에 개인정보 유출 사실을 알렸다”며 “어제 홈페이지에 개인정보 유출 관련 팝업 안내를 띄우고 피해 고객들에게 연락을 시작했고 현재 개인정보위의 조사도 시작됐다”고 설명했다.

모두투어의 현재 전체 회원 수는 300만명으로 알려졌다. 이 가운데는 모두투어 직원의 수도 포함된 숫자이며, 모두투어 직원은 800~900명 남짓이다. 한편 모두투어는 1989년 국일여행사로 시작, 2005년에 모두투어네트워크로 법인명을 변경했다.

한편 ‘개인정보 보호법’ 시행령에 따르면 제40조(개인정보 유출 등의 신고)에서 개인정보가 유출됐음을 인지했을 때 72시간 내에 서면 등의 방법으로 개인정보보호위원회에 신고해야 한다고 명시돼 있다. 하지만 모두투어는 사고 발생 한 달이 지나서야 개인정보위에 유출 사실을 알렸으며, 홈페이지를 통해 공지한 것은 그보다 2개월이 더 지나서야 진행됐다.

피해 사실 공지가 늦은 것에 대해 모두투어 관계자는 “9월 2일에 홈페이지에 팝업을 띄워 피해 사실을 공지하라는 개인정보위의 연락을 받고 팝업 준비 과정을 거쳐 13일부터 띄우기 시작했다”고 해명했다.

이번 사고와 관련해 개인정보위 관계자는 “개인정보위에 신고가 들어오게 되면 해당 침해 사고가 개인정보 유출인지 먼저 사실관계를 파악해야 한다”며 “법률상 피해 규모가 1,000명 이상일 때는 신고를 하는 것이 맞고, 특히 외부인의 불법 접속일 때는 단 1건이라도 신고해야 한다”고 말했다. 이어 “아직 모두투어에 대한 사고 조사가 끝나지 않아 전체적인 피해 규모를 가늠하기 어렵다”고 설명했다.

이 관계자는 이어 “이번 모두투어 해킹 사고와 관련해 조사국에서는 신고지연 여부도 함께 조사 중”이라며 “개인정보 유출을 인지하면 72시간 이내에 신고하게 되어 있는데 유출 신고가 늦어진 사유가 정당한지 확인하고, 정당한 이유가 발견되지 않으면 늑장 신고에 대한 추가 페널티도 부과할 수 있다”고 덧붙였다.


[출처 : 보안뉴스]


첨부파일
첨부파일이(가) 없습니다.