“유럽 기차 여행 낭만 와장창”... 유레일, 30만명 여권 번호 유출

[보안뉴스 김형근 기자] 유럽 35개국 철도망을 하나로 묶는 통합 패스 운영사인 유레일(Eurail B.V.)이 작년 12월 발생한 해킹으로 고객 30만8777명의 정보가 유출됐다고 미국 규제 당국에 정식 신고했다.

이번 사건은 12월 26일 해커들이 유레일 시스템을 뚫고 들어가 방대한 데이터를 복사하면서 시작된 중대한 침해 사고다.

[출처: gettyimagesbank]

유출된 데이터에는 고객의 이름과 여권 번호가 포함되어 있으며, 현재 이 정보들이 다크웹과 텔레그램에서 거래되고 있다.

해커들은 자신들이 유레일 시스템에서 1.3TB에 달하는 소스 코드, 데이터베이스 백업, 고객 지원 티켓을 훔쳤다고 주장했다. 특히 유레일이 해커와의 협상을 거부하자, 분노한 해커들이 샘플 데이터를 공개하며 보복에 나선 것으로 확인됐다.

유레일은 사고 발생 4개월이 지나서야 미국 규제 당국에 뒤늦은 신고를 마쳤다.

피해자 대다수가 미국인이라는 점에서 미국법의 처벌을 피하기 위한 고육지책으로 보인다. 그러나 정밀한 조사라는 핑계로 30만 명의 민감 정보를 방치했다는 비판은 피하기 어려울 것이다.

이번 공격은 유레일뿐만 아니라 연계 여행 프로그램인 디스커버EU(DiscoverEU) 참여자들에게도 2차 피해를 입혔다.

디스커버EU 피해자들의 경우 여권 사본, 주소, 은행 계좌 번호는 물론 일부 건강 데이터까지 유출된 것으로 파악돼 충격을 주고 있다.

유레일은 이번 사건을 유럽연합 데이터 보호 당국에 보고하고, 피해 고객들에게 개별 통지를 시작했다. 1959년 설립 이래 수백만 명의 여행을 도왔던 유레일은 이번 데이터 유출로 인해 브랜드 신뢰도에 심각한 타격을 입게 됐다.