모두투어, 지난 6월 해킹 사고 인지했는데... 3개월 지나 늦장 공지

2024-09-13 16:40
  • 카카오톡
  • 네이버 블로그
  • url
한글·영문 이름, 아이디, 생년월일, 휴대전화번호 등 7개 항목...정보주체에 따라 상이
6월 10일 불법 침입 흔적 발견, 7월 12일 KISA로부터 개인정보 유출 확인 받아
사고 이후 한 달 지나 개인정보위 신고, 그로부터 2개월 지난 9월 13일 홈페이지 사과문
피해 규모도 아직 파악 안 돼...2차 피해 방지 위해 비밀번호 변경 권고


[보안뉴스 김영명 기자] 여행사업·호텔사업을 영위하고 있는 모두투어에서 최근 회원 개인정보가 유출된 것이 확인됐다며 홈페이지에 사과문을 공지했다. 모두투어의 개인정보 유출은 홈페이지 내 악성코드 삽입으로 인해 발생했으며, 이름, 아이디, 생년월일, 휴대전화번호 등 7개 항목이다. 하지만 모두투어 측은 이번 사고를 올해 6월 10일에 인지했는데도 개인정보보호위원회에는 한 달이 지난 7월 12일에야 신고했다. 그로부터도 2개월이 지난 9월 13일 홈페이지를 통해 개인정보 유출 사과문을 올려 늦장 공지에 대한 비판이 커지고 있다.


▲모두투어는 올해 6월 홈페이지 내 악성코드가 삽입돼 회원정보가 유출된 것으로 확인됐다고 최근 공지했다[자료=모두투어 홈페이지]

모두투어 측은 “올해 6월 무렵 당사 홈페이지 내 악성코드가 삽입돼 회원정보와 비회원으로 예약 시 입력된 정보 중 일부가 유출된 것을 확인했다”며 “유출된 개인정보 항목은 한글 이름, 영문 이름, 생년월일, 휴대전화번호, CI(연계정보), DI(중복정보) 등 7개 항목”이라고 밝혔다. 모두투어는 이 같은 피해 사실에 대한 안내를 13일 홈페이지 팝업을 통해 공지했다.

회사는 유출 사실을 인지한 직후 해당 악성코드를 즉시 삭제했으며, 외부로부터 무단으로 접속된 IP 차단과 함께 추가적인 홈페이지 취약점 점검 및 보완조치를 했다. 이와 함께 보안을 강화하기 위해 침입방지 시스템, 웹방화벽, 웹쉘탐지 시스템 등 보안장비의 보안 수준을 높이고 지속해서 모니터링하고 있다고 설명했다.

회사는 “이번 사고로 유출된 개인정보를 이용해 웹사이트 명의도용, 보이스피싱, 스팸문자 등 2차 피해의 우려가 있을 수 있다”며 “비밀번호가 유출된 것은 아니지만 혹시 모를 피해를 막기 위해 비밀번호를 변경할 것을 권고한다”고 당부했다.

모두투어는 피해접수를 위해 정보보호 고객응대팀의 유선전화번호와 이메일 주소를 함께 안내하며 도움이 필요하거나 기타 궁금한 내용이 있으면 연락해줄 것을 요청했다.

사과문에서는 “다시 한 번 사과의 말씀을 드리며, 당사는 앞으로 이와 같은 사고가 발생하지 않도록 보안조치를 더욱 강화하고, 고객님들의 개인정보 보호를 위해 최선의 노력을 다하겠다”며 재차 사과의 뜻을 전했다.

이번 사고와 관련해 모두투어 대외협력부 관계자는 “6월 10일에 당시 홈페이지에서 외부인이 불법으로 침입한 흔적을 발견했으며 다음날 KISA에 신고하고, 7월 11일에 개인정보가 유출된 것으로 확인됐다는 연락을 받았다”고 밝혔다. 이어 “KISA 연락을 받은 뒤 7월 12일에 개인정보보호위원회에 개인정보 유출 사실을 알렸다”며 “어제 홈페이지에 개인정보 유출 관련 팝업 안내를 띄우고 피해 고객들에게 연락을 시작했고 현재 개인정보위의 조사도 시작됐다”고 설명했다.

모두투어의 현재 전체 회원 수는 300만명으로 알려졌다. 이 가운데는 모두투어 직원의 수도 포함된 숫자이며, 모두투어 직원은 800~900명 남짓이다. 한편 모두투어는 1989년 국일여행사로 시작, 2005년에 모두투어네트워크로 법인명을 변경했다.

한편 ‘개인정보 보호법’ 시행령에 따르면 제40조(개인정보 유출 등의 신고)에서 개인정보가 유출됐음을 인지했을 때 72시간 내에 서면 등의 방법으로 개인정보보호위원회에 신고해야 한다고 명시돼 있다. 하지만 모두투어는 사고 발생 한 달이 지나서야 개인정보위에 유출 사실을 알렸으며, 홈페이지를 통해 공지한 것은 그보다 2개월이 더 지나서야 진행됐다.

피해 사실 공지가 늦은 것에 대해 모두투어 관계자는 “9월 2일에 홈페이지에 팝업을 띄워 피해 사실을 공지하라는 개인정보위의 연락을 받고 팝업 준비 과정을 거쳐 13일부터 띄우기 시작했다”고 해명했다.

이번 사고와 관련해 개인정보위 관계자는 “개인정보위에 신고가 들어오게 되면 해당 침해 사고가 개인정보 유출인지 먼저 사실관계를 파악해야 한다”며 “법률상 피해 규모가 1,000명 이상일 때는 신고를 하는 것이 맞고, 특히 외부인의 불법 접속일 때는 단 1건이라도 신고해야 한다”고 말했다. 이어 “아직 모두투어에 대한 사고 조사가 끝나지 않아 전체적인 피해 규모를 가늠하기 어렵다”고 설명했다.

이 관계자는 이어 “이번 모두투어 해킹 사고와 관련해 조사국에서는 신고지연 여부도 함께 조사 중”이라며 “개인정보 유출을 인지하면 72시간 이내에 신고하게 되어 있는데 유출 신고가 늦어진 사유가 정당한지 확인하고, 정당한 이유가 발견되지 않으면 늑장 신고에 대한 추가 페널티도 부과할 수 있다”고 덧붙였다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 다후아테크놀로지코리아

    • 인콘

    • 엔텍디바이스코리아

    • 이노뎁

    • 다후아테크놀로지코리아

    • 아이디스

    • 씨프로

    • 웹게이트

    • 씨게이트

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 비엔비상사

    • 원우이엔지

    • 지인테크

    • 지오멕스소프트

    • 이화트론

    • 다누시스

    • 테크스피어

    • 렉스젠

    • 슈프리마

    • 인텔리빅스

    • 시큐인포

    • 미래정보기술(주)

    • 동양유니텍

    • 비전정보통신

    • 경인씨엔에스

    • 트루엔

    • 성현시스템

    • 한결피아이에프

    • 프로브디지털

    • 디비시스

    • 세연테크

    • 스피어AX

    • 투윈스컴

    • 위트콘

    • 유에치디프로

    • 구네보코리아주식회사

    • 주식회사 에스카

    • 넥스트림

    • 포엠아이텍

    • 세렉스

    • 탈레스

    • 에스지에이솔루션즈

    • 로그프레소

    • 윈스

    • 포티넷코리아

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 유투에스알

    • 케이제이테크

    • 알에프코리아

    • 창성에이스산업

    • 아이엔아이

    • 미래시그널

    • 새눈

    • 에스에스티랩

    • 현대틸스
      팬틸트 / 카메라

    • 이스트컨트롤

    • 네티마시스템

    • 태정이엔지

    • (주)일산정밀

    • 넥스텝

    • 한국씨텍

    • 두레옵트로닉스

    • 에이티앤넷

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 에이앤티글로벌

    • 포커스에이치앤에스

    • 신화시스템

    • 휴젠

    • 메트로게이트
      시큐리티 게이트

    • 글로넥스

    • 엘림광통신

    • 세환엠에스(주)

    • 유진시스템코리아

    • 카티스

    • 유니온커뮤니티

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

Passwordless 설정

PC버전

닫기