이 기사를 공유합니다

하나투어 해킹된 지 두 달 만에 또… “여행사 보안 허술” 지적 나와

 국내 여행사 자유투어의 일부 고객 개인정보가 해킹으로 유출됐다. 업계 1위 하나투어가 대규모 해킹 피해를 당한 게 알려진 지 두 달 만이다. 자유투어는 업계 2위인 모두투어의 자회사다. 한때는 하나·모두투어에 이어 업계 3위였다.  자유투어는 12월15일 홈페이지를 통해 “12월11일 오후 4시경 해커 조직에 의해 일부 고객님의 개인정보가 침해된 정황을 확인했다”고 공지했다. 이번 피해 대상은 2012년부터 2017년 9월 사이 자유투어를 이용한 사람들 중 일부다. 자유투어는 “현재 수사기관에서 수사를 진행 중”이라고 발표했다. 자유투어 홍보팀 관계자는 "자유투어는 IDC(인터넷데이터센터)에 고객정보를 저장했는데 침해사고가 발생했다"면서 "유출경로는 경찰이 수사 중"이라고 말했다. 이어 “지금까지 확인된 바로는 유출된 개인정보가 대략 20만 건으로 추정된다”고 했다.  여행사의 개인정보가 유출된 건 처음이 아니다. 10월17일엔 하나투어가 개인정보 유출에 대해 공식 발표한 바 있다. 경찰 등에 따르면, 당시 새어 나간 개인정보는 약 45만 건에 달했다.  
  

“개인정보 많이 보유했지만 보안 미흡하다”

 이번 자유투어 해킹으로 유출된 개인정보 중 주민등록번호는 포함되지 않았다. 하지만 △이름 △생년월일 △휴대전화번호 △이메일 △주소 △자유투어 홈페이지 ID △암호화된 비밀번호 등이 유출됐다. 암호화된 비밀번호란 말 그대로 고객의 비밀번호를 암호로 바꿔 저장한 것이다. 하나투어 해킹 때는 유출되지 않았던 요소다.  자유투어 관계자는 “암호화된 비밀번호가 해독될 가능성은 없다”고 강조했다. 박상원 한국인터넷진흥원(KISA) 홍보실장은 “비밀번호의 암호화는 단방향으로 이뤄진다”고 설명했다. 이는 암호를 풀 수 있는 알고리즘인 ‘해독 열쇠’를 아예 두지 않는 방식이다. 박 실장은 “단방향 암호화된 비밀번호의 원래 모습을 찾는 게 이론적으로 불가능한 건 아니지만 현실적으로 매우 어렵다”고 말했다.  최근 들어 여행사를 공격하는 경우가 많은 건 왜일까. 일단 여행사는 의료기관과 보험·금융업체 다음으로 개인정보를 많이 보유하고 있는 곳으로 알려져 있다. 그렇지만 여행사의 보안 상태는 상대적으로 허술하다는 지적이 제기돼 왔다. 비영리 사단법인 정보화사회실천연합은 2014년 3월 “하나투어 등 국내 여행사 사이트의 개인정보 암호화 처리가 미흡해 개인정보 노출 위험이 높은 것으로 나타났다”고 발표했다. 해커 입장에서는 구미가 당기는 타깃일 수 있는 셈이다. 자유투어 개인정보의 유출 여부를 확인하고 싶다면 회사 에 들어가면 된다. 이번 사건으로 피해를 봤거나 피해가 예상되는 경우에는 자유투어 고객센터 내 담당부서(02-3455-0119)로 신고할 수 있다. 
12월15일 자유투어 홈페이지에 올라온 공지문. 출처=자유투어 홈페이지

키워드
#자유투어 #해킹 #개인정보 #여행사 #하나투어
저작권자 © 시사저널 무단전재 및 재배포 금지