메리어트 측은 항소 의지 시사해...최종 벌금 액수는 이후에 결정될 듯
[보안뉴스 문가용 기자] 영국의 정보위원회(ICO)가 영국항공에 이어 대형 호텔 그룹인 메리어트인터내셔널(Marriott International)에도 큰 벌금을 부과했다. ICO가 주장한 금액은 1억 2300만 달러이며, 메리어트 측은 순순히 내지 않을 것이라고 발표했다.
[이미지 = iclickart]
메리어트는 지난 해 11월 스타우드(Starwood) 호텔들에 숙박을 했던 5억 명의 고객 정보가 침해를 당했다고 발표했다. 사건이 실제로 일어난 것은 2014년으로 보인다. ICO는 이것이 유럽연합의 새로운 개인정보 보호 규정인 GDPR을 위반하는 사건이라고 주장했고, 그에 따라 1억 달러가 넘는 벌금을 결정했다.
물론 메리어트가 항소를 할 경우(GDPR에 의거해서도 메리어트에게는 항소의 권리가 있다), 최종 판결 내용과 금액이 조정될 수 있다.
조사는 올해 초까지도 이어졌는데, 메리어트는 지난 1월, 정보를 침해당한 고객이 5억 명이 아니라 3억 2300만 명이라고 정정했다. 여권 번호를 침해당한 것으로 보이는 고객의 수는 2500만 명 정도라는 내용도 덧붙었다. 메리어트는 해당되는 고객들에게 이 사실을 알렸다고 밝혔다.
그리고 지난 화요일 영국 ICO는 “유럽 시민들 중 이 사건으로 인해 피해를 입은 사람은 약 3000만 명이며, 이 중 700만 명은 영국인”이라고 발표했다. 그러면서 “메리어트가 지난 2016년 스타우드를 매입할 때 필요한 보안 점검을 제대로 다 하지 못했다”고도 주장했다. M&A가 일어나는 기간 동안 충분히 사건을 인지하고 필요한 조치를 취하며 고객들을 보호하기 위한 보안 장치를 마련할 수 있었다는 것이다.
그러면서도 ICO는 “지난 11월 사건이 발표되고 나서부터 메리어트 측은 방어를 위한 추가 대책을 마련했다”고 설명을 이어가기도 했다.
메리어트의 회장인 안 소렌슨(Arne Sorenson)은 공식 발표문을 통해 “수사가 진행되는 동안 ICO에 적극 협조했으며, 침해 사건이 벌어진 건 전적으로 사이버 범죄자들의 책임”이라고 주장했다. “ICO의 결정에 매우 실망한 상태이며, 있는 그대로 따르지는 않을 예정입니다.”
이 소식 때문에 오늘 오후 메리어트의 주가는 1.5% 하락했다.
영국의 ICO는 이번 주에만 두 차례 천문학적인 벌금을 부과했다. 월요일에는 영국항공에 2억 3천만 달러에 달하는 벌금형을 내린 것이다. 이는 GDPR 규정이 시행된 이후 내려진 벌금형 중 가장 큰 금액이다. 메리어트가 받은 벌금은 순서와 금액적인 면 모두에서 두 번째다. 다만 메리어트가 항소를 할 것이 분명해 보여 더 지켜볼 여지가 남아있다.
3줄 요약
1. 영국 ICO, 월요일에 이어 또 다시 어마어마한 벌금형 결정. 이번에는 메리어트 호텔.
2. 총 금액은 1억 2천만 달러 정도. 메리어트는 “매우 실망했으며 순순히 따르지 않을 것”이라고 발표.
3. GDPR 벌금, 슬슬 커지기 시작할까?
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>