업계 2위 모두투어도 뚫렸다…여행사 보안사고 '빨간불'

6월 홈페이지 개인정보 유출
이달 뒤늦게 사과문 공지 올려
티메프사태 후폭풍 실적 악화
보안사고로 고객신뢰도 '흔들'
하나투어·야놀자·인터파크 등
유사사례로 과징금까지 내기도

지난 12일 공식 홈페이지에 고객 사과문을 올린 모두투어.

모두투어가 털렸다. 티메프(티몬·위메프) 사태의 여진이 이어지고 있는 가운데 업계 2위 대형사로 분류되는 모두투어 홈페이지의 개인정보마저 유출되면서 여행사들의 보안 취약성이 또 한 번 도마에 올랐다.

여행업계에 따르면 모두투어는 지난 6월 개인정보가 유출된 사실을 확인하고 뒤늦게 수습에 나섰다. 모두투어는 지난 12일 공식 홈페이지와 개별 안내를 통해 피해 접수 안내를 공지했다.

현재까지 유출된 개인정보 항목은 '휴대전화 번호, 개인정보식별정보값(CI), 중복가입정보값(DI), 한글 이름, 영문 이름, 아이디, 생년월일' 등이다. 정확한 유출 규모에 대해선 공개하지 않았지만 업계 2위 규모인 만큼 상당한 숫자에 달할 것으로 업계는 보고 있다.

모두투어 관계자는 "모니터링 시스템에 외부 침입 흔적을 발견했다. 이를 한국인터넷진흥원(KISA)에 의뢰하면서 일부 고객의 개인정보가 유출된 사실을 파악하게 됐다"며 "현재 개인정보보호위원회에 신고한 상태"라고 파악 경위를 전했다. 다만 개인 여행족이 우려하는 주민등록번호와 여권번호는 아직 유출되지 않은 것으로 알려졌다.

모두투어는 최근 발생한 티메프 사태로 인한 경영실적 악화에 이어 개인정보 유출 사고까지 터지면서 경영진 및 임원 급여를 자진 삭감하기로 결정했다.

하나투어 홈페이지

긴급 경영진 회의를 통해 10월부터 12월까지 3개월간 30%를 삭감하고, 본부장 및 임원들은 각각 20%, 10%의 급여 반납에 자발적으로 동참하기로 했다.

하지만 여행족의 불만은 가라앉지 않고 있다. 고객 정보가 몰려 있는 대형 여행사의 개인정보 유출 피해 사례가 이번이 처음은 아니기 때문이다.

앞서 하나투어는 외주업체 직원의 노트북에 저장된 관리자용 계정이 해킹에 노출되면서 무려 46만명의 회원 정보가 털린 바 있다. 당시 하나투어는 개인정보위원회로부터 과징금 3억2725만원을 부과받았다.

2021년에는 야놀자가 뚫렸다. 해킹 피해로 5만2132건의 회원 정보가 유출되면서 과징금 5690만원을 냈다.

업계 1위와 2위뿐만이 아니다. 참좋은여행과 인터파크도 해커의 공격에 회원 정보가 털리면서 과징금을 각각 부과받았다.

여행업계의 보안 취약성에 대한 지적은 리오프닝과 함께 일찌감치 지적된 바 있다.

인터파크 홈페이지

보안 사고 역시 꾸준히 증가세다. SK쉴더스 화이트해커 그룹 '이큐스트(EQST)'에 따르면 2022년 상반기 여행·서비스 산업에서 발생한 침해 사고는 전체 침해 사고의 22.6%를 차지했고, 전년 동기 대비 6.9%가 증가한 것으로 나타났다. 산업계 보안 침해 사고 5건 가운데 1건은 여행 유관 업계에서 발생하고 있는 셈이다. 일각에서는 개선 움직임도 있다. 노랑풍선은 여행사 내 선제적으로 자체 전산 시스템을 구축했다. 직원들이 업무용 노트북을 외부로 가지고 나갈 때는 해당 전산 시스템 접속이 아예 불가능하다.

하나투어는 개인정보 보호 책임자 및 개인정보 취급자 대상으로 정기적인 교육 실시, 재발방지 대책 수립, 위반행위 즉시 중지 등 시정 조치를 이행한 후 정보보호관리체계인증(ISMS)을 취득해 유지하고 있다.

모두투어 관계자는 "회사 차원에서 가장 많은 투자를 한 게 보안을 포함한 차세대 시스템인데, 문제가 생겼다. 심각성을 느끼고 있다"며 "개인정보위원회의 정확한 피해 집계가 나오는 대로 회사 차원에서 보상에 나설 방침"이라고 말했다.

[신익수 여행전문기자]