호텔 관리 플랫폼 오텔리에(Otelier)가 대규모 데이터 유출 사고를 겪으면서 전 세계적으로 알려진 호텔 브랜드 메리어트(Marriott), 힐튼(Hilton), 하얏트(Hyatt)의 고객 정보와 예약 정보가 유출됐다. 이번 사고로 약 7.8테라바이트(TB) 분량의 데이터가 오텔리에의 아마존 S3(Amazon S3) 클라우드 스토리지에서 탈취된 것으로 확인됐다. 유출은 2024년 7월부터 시작해 10월까지 이어진 것으로 알려졌다.

오텔리에의 데이터 유출은 해커들이 악성코드(Infostealer Malware)를 통해 한 직원의 로그인 정보를 탈취하며 시작됐다. 이 로그인 정보를 활용해 오텔리에의 애틀라시안(Atlassian) 서버에 접근한 뒤 내부 지원 티켓과 추가적인 계정 정보까지 수집했다. 이후 확보한 자격 증명을 통해 아마존 S3 버킷에 접근해 대량의 데이터를 다운로드했다.

탈취된 데이터에는 호텔 예약 정보, 교대 감사 기록, 야간 보고서, 회계 자료 등이 포함되어 있었다. 고객의 이름, 주소, 전화번호, 이메일 주소와 같은 민감한 개인정보도 유출된 것으로 밝혀졌다.

오텔리에는 메리어트, 힐튼, 하얏트, 윈덤(Wyndham) 등 주요 호텔 브랜드와 협력하며 예약 및 거래 데이터를 관리한다. 메리어트는 유출 사고로 데이터가 영향을 받은 것을 확인했으나, 이번 사건이 오텔리에의 시스템에 국한되었으며 메리어트 자체 시스템은 침해되지 않았다고 강조했다. 이에 따라 메리어트는 오텔리에가 제공하는 자동화 서비스를 조사 완료 시점까지 일시 중단한 상태다. 한편, 힐튼과 하얏트는 아직 공식적인 입장을 발표하지 않았다.

데이터 유출 분석 서비스 ‘하브 아이 빈 포운드(Have I Been Pwned)’의 설립자 트로이 헌트(Troy Hunt)는 유출된 데이터에서 약 3,900만 건의 호텔 예약 정보와 2억 1,200만 건의 사용자 데이터가 포함된 테이블을 발견했다고 밝혔다. 중복 데이터와 예약 사이트가 생성한 이메일 주소를 제외한 결과, 약 43만 7천 개의 고유 이메일 주소가 유출된 것으로 나타났다.

해커들은 유출된 S3 버킷이 메리어트 소유인 것으로 오해하고 메리어트를 대상으로 암호화폐를 요구하는 랜섬 노트를 남겼다. 하지만 메리어트와의 소통은 이뤄지지 않았고, 2024년 9월 오텔리에가 계정을 초기화하면서 접근 권한을 상실했다.

메리어트는 고객 결제 정보와 비밀번호가 유출되지 않았다고 강조했지만, 전문가들은 이번 유출 데이터를 이용한 피싱 공격 가능성을 경고했다. 특히 해커들은 탈취된 고객 정보를 기반으로 호텔 브랜드를 사칭한 이메일을 발송할 가능성이 높다고 지적했다.

오텔리에는 유출 사고를 인정하며 고객들에게 해당 사실을 통보 중이라고 밝혔다. 또한, 보안 전문가들로 구성된 외부 팀을 고용해 포렌식 조사를 진행하며 시스템 보안 강화를 위한 조치를 취하고 있다. 회사는 이번 사고와 관련된 계정을 비활성화했으며, 보안 프로토콜을 강화해 유사 사고 재발을 방지하겠다고 전했다.

보안 전문가들은 이번 사고를 통해 제3자 서비스 제공업체가 관리하는 민감 데이터에 대한 보안 취약점이 재차 드러났다고 평가했다. 특히, 악성코드를 통한 계정 정보 탈취는 원격 근무 환경과 개인 기기의 사용이 증가한 상황에서 지속적인 위협으로 작용하고 있다고 강조했다.

★정보보안 대표 미디어 데일리시큐 /Dailysecu, Korea's leading security media!★