2024년 2월, 국내 한 호텔의 홍보팀 사무실. 직원들의 얼굴에는 당혹감이 가득했다. 전날 밤 발생한 해킹으로 인해 호텔의 공식 인스타그램 계정이 강제 비활성화된 것이다. 수만 명의 팔로워를 보유한 핵심 마케팅 채널이 한순간에 사라져버렸다.
홍보팀은 즉각 디지털마케팅 대행사에 연락을 취했지만, 계정 복구에는 상당한 시간이 필요하다는 답변뿐이었다. 한편 예약했던 인플루언서들의 호텔 콘텐츠는 계속 들어오고 있었고, 실시간 응대가 필요한 고객들의 DM도 확인할 수 없는 상태였다. 더욱이 밸런타인데이 프로모션을 앞두고 있어 직원들은 발만 동동 구를 뿐이었다.
이는 더 이상 특이한 일이 아니다. SNS 마케팅이 호텔업계의 핵심 PR 전략으로 자리 잡으면서, 계정 해킹과 같은 디지털 보안 위협은 새로운 도전 과제가 되고 있다. 호텔업계에서 발생하기 쉬운 주요 디지털 보안 사고와 피해 사례를 집중적으로 분석하고, 디지털 위험에 대응하기 위해서 어떤 준비가 필요한지 알아보자.
* 해당 상황은 실제 취재 내용을 바탕으로 재구성됐음을 밝힙니다.
이 글에 등장하는 업체, 지명, 사건, 숫자 등은 모두 실제와 관계없음을 알려드립니다.
함께 읽으면 좋은 기사
2019년 3월호 [Feature Hotel_Ⅱ] 호텔의 IT 보안, 어디까지 왔나?_ 호텔 고객 정보 보호를 위한 솔루션
양날의 검과 같은 디지털 혁신
호텔업계 특성상 사이버 공격의 표적되기 쉬워
호텔업계가 인공지능(AI)과 디지털 전환(DX)을 추진하는 과정에서 사이버 보안 위협에 노출돼 피해를 겪고 있다. 고객의 민감한 개인정보를 다루는 업계의 특성상, 해킹 등 사이버 공격의 표적이 되고 있어 우려가 커지는 시점이다. 제보에 의하면 A 호텔은 최근 SNS 계정이 강제 비활성화돼 피해를 입었다. 인공지능 전문 매체
특히 문제가 되는 것은 이러한 계정 비활성화가 반복적으로 발생한다는 점이다. 한 기업의 경우 올해 들어서만 6차례나 계정이 강제 비활성화되는 일을 겪었다. 계정이 복구된 후에도 2주 만에 다시 비활성화되는 등 잇다른 피해가 지속됐으며, 이는 메타의 AI 시스템이 정상적인 기업 계정을 사칭 계정으로 잘못 판단하는 데서 비롯된 것으로 분석된다.
무엇보다 피해 복구가 쉽지 않다. 계정 소유자가 메타에 문의해도 “관련 업무를 하지 않는다.”는 답변만 받거나, 담당 부서와의 연결조차 거부당하는 경우가 많다. 1월 기준 400명이 넘는 피해자들이 오픈 채팅방을 통해 해결 방안을 모색하고 있지만, 뚜렷한 대책을 찾지 못하고 있는 실정이다. 호텔 업계의 경우 SNS가 주요 마케팅 채널이자 고객과의 소통 창구인 만큼, 계정 비활성화로 인한 피해는 직접적인 매출 감소로 이어질 수 있다는 우려가 제기되고 있다.
코로나19를 기점으로 디지털 혁신은 호텔산업의 큰 성장과 변화를 가져올 것이라 기대됐다. 하지만 이것은 양날의 검과도 같다. 준비된 자에게는 기회가 되지만, 준비되지 않은 자에게는 위험요소로 작용한다. 고객의 생일이나 기념일, 가족관계까지 세세한 정보를 다루는 호텔 업계에서는 보안 및 정보 관리가 더욱 중요하다. 최근 5년 이내 발생했던 국내외 디지털 보안 사고 및 피해 사례를 들여다 보자.
진화하는 호텔 대상 사이버 공격의 실태
글로벌 호텔도 안심할 수 없다
글로벌 호텔 체인 메리어트는 지난 2022년까지 총 세 차례의 주요 데이터 유출 사태를 겪었다. 2014년부터 시작된 ‘대규모’ 해킹으로 최대 3억 4000만 명의 고객 개인정보 데이터가 유출됐다. 유출된 고객 정보는 여권번호, 신용카드 정보, 투숙 이력 등이었다. 이는 2014년 당시 스타우드 호텔 그룹의 시스템이 해킹됐을 때 시작됐으며, 2016년에 스타우드를 인수한 메리어트는 2018년까지 데이터 유출 사실을 발견하지 못했다.
2020년 4월에는 전 세계 약 520만 명의 고객 정보가 유출되는 두 번째 사고가 발생했다. 이어 2022년 7월에는 메릴랜드주 볼티모어-워싱턴 국제공항 메리어트 호텔 서버가 해킹돼 신용카드 정보와 기밀 정보를 포함한 20GB의 데이터가 유출되는 사고까지 겪었다.
이로 인해 메리어트는 지난해 10월 미국 연방거래위원회(FTC)와 49개 주 검찰총장단과의 합의를 통해 5200만 달러의 벌금을 지불하고 데이터 보안 강화 조치를 이행하기로 했다. FTC는 메리어트와 자회사인 스타우드 호텔 & 리조트의 미흡한 데이터 보안 관행이 이러한 유출 사고의 원인이라고 지적했으며, 특히 적절한 비밀번호 통제, 네트워크 모니터링 등 데이터 보호를 위한 기본적인 보안 조치조차 제대로 이뤄지지 않았다고 밝혔다.
호텔을 노리는 사이버 공격은 나날이 지능화, 조직화되고 있다. 미국 캘리포니아주 소재의 컴퓨터 보안 체인 Trellix의 보고서에 따르면, 2023년 말 중국 마카오의 윈 팰리스(Wynn Palace)와 그랜드 콜레인 리조트(Grand Coloane Resort) 등 고급 호텔들이 ‘다크호텔(DarkHotel)’이라는 해커 조직의 표적이 됐다. 이들은 마카오 정부 관광청으로 위장한 이메일을 17개 호텔에 발송했는데, 특히 호텔 네트워크에 접근 권한이 있는 인사 담당자와 사무실 관리자들을 겨냥했다. 악성 엑셀 매크로가 포함된 ‘승객 문의’ 파일을 첨부해 호텔 투숙객 정보를 탈취하려 했다는 것이다.
이들의 표적은 단순한 고객 정보가 아니다. Trellix 연구팀은 “공격 대상이 된 호텔들에서는 국제환경포럼과 국제무역투자박람회 등 주요 행사가 예정돼 있었다.”며 “이는 스파이 활동의 대상이 될 수 있는 참석자들의 정보를 노린 것으로 보인다.”고 분석했다. 호텔이 보유한 데이터가 사이버 범죄자들에게 얼마나 매력적인 표적이 될 수 있는지를 정확하게 보여준다. 아울러 Trellix는 호텔 운영자들이 네트워크 보안을 더욱 강화해야 하며, 여행객들 역시 필수적인 기기만 지참하고, 보안 시스템을 최신 상태로 유지하며, 호텔 Wi-Fi 사용 시 VPN 서비스를 활용하는 등의 보안 수칙을 준수할 것을 권고했다.
사이버 공격의 결과는 때로 예측할 수 없는 심각한 피해로 이어지기도 한다. 2022년 9월 인터컨티넨탈 호텔 그룹(IHG)이 겪은 사이버 공격은 이를 잘 보여주는 사례다. BBC 보도에 따르면, 베트남의 한 해커 커플이 ‘TeaPea’라는 이름으로 IHG 시스템을 해킹했는데, 이들은 놀랍게도 ‘재미로’ 이 공격을 감행했다고 밝혔다.
해커들은 피싱 이메일을 통해 직원의 이중 인증(2FA) 코드를 탈취하는 데 성공했고, 더욱 충격적인 것은 회사의 내부 패스워드 저장소에 접근할 수 있는 비밀번호가 ‘Qwerty1234’라는 초보적인 수준이었다는 점이다. 이들은 랜섬웨어 공격에 실패하자 접근한 데이터를 모두 삭제해버렸고, 이로 인해 IHG는 2주 가까이 고객 서비스 시스템 장애를 겪어야 했다.
부킹닷컴(Booking.com)을 사칭한 피싱 공격 또한 새로운 위협으로 부상했다. 이스라엘 텔아비브의 소프트웨어 회사인 Perception Point는 해커들이 호텔의 서비스 지향적 특성을 노린 다양한 수법을 동원하고 있다고 밝혔다. 가장 흔한 방식은 불만 고객을 가장한 공격이다. 해커들은 호텔에 부정적인 리뷰가 게시됐다며 신속한 답변을 요구하는 메시지를 보낸다. 응답 링크를 클릭하면 실제 부킹닷컴과 거의 구분이 불가능한 가짜 웹사이트(예: account.booking-sign.com)로 연결되고, 이 과정에서 호텔의 계정 정보가 탈취된다.
또 다른 수법으로는 계정 비활성화 위험을 알리는 가짜 정책 변경 통지가 있다. 호텔 관리자들에게 정기적으로 엑스트라넷(호텔 관리 포털)에 로그인하지 않으면 계정이 비활성화될 수 있다고 경고하며, 로그인을 유도해 계정 정보를 빼낸다.
미래 투숙객을 사칭하기도 하는데, 예약 확인을 핑계로 링크를 보내 호텔 직원이 이를 클릭하면 로그인하는 순간 계정 정보가 탈취된다. 이러한 공격의 최종 목표는 호텔의 예약 시스템에 접근해 투숙객들의 이메일, 전화번호, 신용카드 정보 등 민감한 개인정보를 대량으로 확보하는 데 있다.
이러한 피싱 공격에 대응하기 위해 부킹닷컴은 파트너 호텔들에게 구체적인 보안 가이드라인을 제시하고 있다. 특히 의심스러운 이메일을 식별하는 주요 체크포인트로 세 가지 사항을 강조한다.
먼저 이메일의 어조가 지나치게 긴급한지 살펴봐야 한다. 계정 정지나 재정적 위기와 같은 긴박한 상황을 조작해 즉각적인 대응을 유도하는 것은 전형적인 피싱 수법이다. 부킹닷컴은 절대 사전 연락 없이 긴급한 요청을 하지 않는다는 점을 강조한다.
이메일 발신자 주소 또한 세심하게 확인해야 한다. 부킹닷컴의 정상적인 이메일은 항상 ‘booking.com’으로 끝나는 도메인(예: example@sg.booking.com)을 사용한다. ‘support@booking-103266.com’'과 같이 유사해 보이지만 다른 도메인을 사용하는 주소는 피싱 시도일 가능성이 높다.
아울러 의심스러운 링크를 주의해야 한다. 링크 위에 마우스를 올려 실제 연결되는 URL을 미리 확인하고, ‘.booking.com’으로 끝나지 않는 주소는 절대 클릭하지 말아야 한다. 특히 모바일에서는 링크를 길게 눌러 URL을 확인할 수 있다.
피싱 공격이 의심되는 경우, 부킹닷컴은 24시간 이내에 다음과 같은 조치를 취할 것을 권고한다. 즉시 이메일 계정과 부킹닷컴 계정의 비밀번호를 재설정하고, 최신 버전의 악성코드 스캐너로 기기를 검사해야 한다. 또한 의심스러운 이메일은 즉시 부킹닷컴 보안팀에 신고해야 한다.
예방책으로는 공식 엑스트라넷 링크(https://admin.booking.com/)를 브라우저에 북마크로 저장해 두고, 시크릿 모드와 같은 익명성 기능 사용을 자제할 것을 권장한다. 이러한 기본적인 보안 수칙만 잘 지켜도 상당수의 피싱 공격을 예방할 수 있다는 것이 전문가들의 설명이다.
시스템 오류에서 직원 실수까지... 반복되는 호텔 개인정보 유출, 해답은?
국내 호텔업계에서도 고객의 개인정보 유출 사례는 빈번히 벌어지고 있다. 한화호텔앤드리조트는 지난 2023년 4월 시스템 오류로 객실 예약자의 이름과 전화번호, 방문 리조트 지역명, 입실일 등 개인정보를 노출시켰다고 밝혔다. 온라인 예약 시스템 변경 과정에서 발생한 개발 과실로 1800건이 넘는 고객 정보가 유출됐으며, 이에 지난 8월 29일 개인정보보호위원회로부터 1억 8000만원 상당의 과징금과 과태료 처분을 받았다. 담당자의 과실로 한 달 새 두 차례나 고객의 개인정보가 유출된 사례도 있었다. 2023년 1월 서울신라호텔은 신라리워즈 멤버십 회원을 대상으로 뉴스레터를 발송하는 과정에서 다른 고객들의 영문 이름과 회원번호, 회원 등급 등 총 9만 9344건의 개인정보 항목을 유출했다.
전문가들은 법적 규제 강화와 더불어 기업들의 자발적인 개인정보 보호 노력이 중요하다고 강조한다. 특히 데이터 기반 사회에서 법적 규제만으로는 개인정보 유출을 완벽히 막을 수 없는 만큼, 호텔 업계의 자율적인 관리 강화와 윤리의식 확립이 시급하다는 지적이다.
30개 이상의 세계적 수준의 사이버 인텔리전스 피드를 활용해 기업의 네트워크 보안을 담당하는 thReatER의 패트릭 맥개리(Patrick McGarry) 최고기술책임자(CTO)는 2022년 9월 메리어트 사례를 분석하며 호텔산업이 배워야 할 핵심 교훈을 다음과 같이 제시했다.
첫째, 직원 대상 소셜 엔지니어링 교육이 필수적이다. 2022년 메리어트 해킹 사고는 직원을 속여 민감한 정보를 탈취하는 소셜 엔지니어링 수법으로 발생했다. 해커들은 먼저 표적이 될 직원의 정보를 수집한 뒤, 신뢰할 만한 스토리를 구축해 접근했다. 이후 수집한 정보를 바탕으로 직원을 속여 로그인 정보나 접근 권한을 얻어내는 방식이었다. 맥개리는 “이러한 공격을 식별하는 것은 쉽지 않지만, 직원들에게 주요 소셜 엔지니어링 기법과 대응 방안을 교육하면 해커들의 접근을 차단하는데 도움이 된다.”고 강조했다.
맥개리는 의심스러운 활동에 대한 경보 시스템 구축이 중요하다고도 말했다. 메리어트 해킹 사고의 경우, IT팀이 해킹 발생 직후 즉각적으로 알림을 받아 해커들의 갈취 시도 이전에 대응할 수 있었다. 2018년 데이터 유출이 4년간 발견되지 못했던 것과 달리, 신속한 탐지 시스템이 있었기에 피해를 최소화할 수 있었던 것이다.
또한 ‘제로 트러스트 아키텍처’의 도입을 제안했다. 제로 트러스트란 아무것도 신뢰할 수 없기 때문에 항상 검증한다는 기본 전제를 바탕으로 구현하는 보안 패러다임으로, 하나의 터미널이나 네트워크 접속점이 해킹되더라도 전체 시스템으로의 확산을 막을 수 있다. 맥개리는 “모든 상호작용 단계에서 검증을 요구함으로써 의심스러운 활동을 조기에 포착하고 광범위한 피해를 예방할 수 있다.”고 조언했다.
제로 트러스트 도입은 국내에서도 그 중요성이 강조되고 있다. 지난 2023년 웨스틴조선호텔에서 진행된 ‘2023 사이버보안콘퍼런스’에서 엔씨소프트의 신종회 정보보호최고책임자(CISO) 또한 제로 트러스트를 활용한 인공지능(AI) 서비스의 보안 위협 대응 전략’을 주제로 강연을 펼친 바 있다. 신 CISO는 “챗GPT를 비롯한 인공지능(AI) 서비스가 정교해지며, 이를 이용한 해킹 방식도 발전하고 있다.”고 말하며, “하나의 계정에 최소한의 권한만 부여하는 제로 트러스트 체계는 AI 서비스가 야기하는 보안 문제를 막을 수 있을 것”이라고 강조했다.
한편 연구에 따르면 전체 데이터 유출 사고의 43%는 중소기업에서 발생했으며, 이들 중 83%가 재정적으로 회복하지 못해 운영 방식을 변경하거나 폐업에 이르렀다. 규모가 작다고 해서 사이버 공격의 위험이 적은 것이 아니다. 맥개리는 “오히려 중소형 호텔들이 더 취약할 수 있다.”고 경고했다. 그는 “호텔은 투숙객들의 수많은 개인정보를 다루는 만큼, 사이버 보안 위험을 정확히 인지하고 민감한 정보를 보호하기 위한 조치를 강화해야 한다.”며 “그렇지 않으면 메리어트와 같은 대형 유출 사고를 겪을 수 있고, 더욱이 대처할 자원이 충분치 않을 수 있다.”고 말했다.
비대면 시대의 양면성
편리함과 보안 위험 사이
코로나19 이후 확산된 비대면 서비스도 새로운 보안 과제를 안겨주고 있다. 모바일 체크인, 디지털 키, 무인 편의점 등 고객의 편리함을 추구하는 서비스는 그만큼 보안 위험도 크다. 모바일 기기를 통해 개인정보 유출, 블루투스 통신 해킹, 키오스크 결제 정보 탈취 등 새로운 형태의 위협이 계속해 등장하고 있으며, 이러한 우려는 최근 현실화되고 있다. 보안 전문매체 ‘Security Week’에 따르면, 지난 2024년 4월 스위스 IT 보안평가 기업 펜타그리드(Pentagrid)는 독일을 비롯한 유럽 각국의 이비스 버짓(Ibis Budget) 호텔 셀프 체크인 키오스크에서 심각한 보안 취약점을 발견했다고 밝혔다.
프랑스 호텔 그룹 아코르가 운영하는 이비스 버짓은 20개국에 600개의 지점을 보유한 대형 호텔 체인이다. 문제가 된 키오스크는 직원 없이 고객이 객실에 체크인할 수 있도록 설계됐지만, 예약 번호 대신 단순히 대시(-) 기호를 연속으로 입력하면 현재 모든 예약 목록과 함께 객실 번호, 출입문 키패드 코드가 노출되는 취약점이 있었다.
특히 이 접근 코드는 투숙 기간 동안 변경되지 않아 악의적인 사용자가 객실에 무단으로 침입할 수 있는 위험이 있었다. 펜타그리드는 “저가 호텔의 객실에는 금고가 구비돼 있지 않은 경우가 많아 귀중품 도난의 위험이 있다.”고 지적했다. 다행히 아코르 측은 취약점 발견 한 달 만에 패치를 배포해 문제를 해결했다.
이 사례는 비대면 서비스의 편리성 이면에 숨어있는 보안 위험을 단적으로 보여준다. 특히 야간에 무인으로 운영되는 호텔의 경우, 물리적 보안과 디지털 보안의 경계가 모호해지면서 새로운 형태의 위협이 등장하고 있는 것이다.
실제로 미국의 주요 체인 호텔들은 수년 전부터 디지털 키 기능을 제공해 왔다. 최근에는 Google Wallet과 Apple Wallet에 투숙객의 객실 키를 저장해, 문 손잡이 근처 리더기에 휴대폰을 대는 것만으로 객실에 출입할 수 있는 기능을 도입함으로써 본격적인 경쟁에 뛰어들고 있다. 이러한 키리스 시스템의 확산 속에서 보안 전문가들은 새로운 위협을 우려하고 있다.
CNBC에서 지난해 9월 1일 보도한 기사에 따르면, RH-ISAC(소매·호텔 정보공유분석센터)의 리 클라크 사이버 위협 정보 책임자는 “키리스 시스템이 호텔 보안 운영에 완전히 새로운 위협 요인을 도입할 수 있다.”고 경고했다. 다중인증(MFA)과 같은 보안 통제 정책으로 이러한 위협을 완화할 수 있지만, 바쁜 투숙객들이 이러한 추가 절차를 반드시 따르지는 않는다는 것이다.
라스베이거스 대학교 호스피탈리티 대학의 메멧 에르뎀 교수 역시 “모든 것은 해킹될 수 있고, 모든 것은 뚫릴 수 있다.”며 “디지털 입장 시스템이 잘못된 보안 인식을 심어줄 수 있다.”고 지적했다. 특히 스마트폰 기반의 디지털 키는 편의성 측면에서는 우수하지만, 보안 측면에서는 기존 카드키와 크게 다르지 않다는 것이 전문가들의 평가다.
호텔의 디지털 전환 과정에서 가장 큰 과제는 기존 시스템과 새로운 서비스의 통합이다. 리 클라크에 따르면, 디지털 및 키리스 잠금 시스템으로의 전환은 장비, 설치, 유지보수, 보안에 상당한 비용이 수반된다. 이로 인해 많은 호텔들이 부분적 업그레이드를 선택하게 되고, 이 과정에서 새로운 취약점이 발생할 수 있다. J.D. 파워의 조사에서는 일부 대형 체인들이 프랜차이즈 소유자들에게 브랜드 표준의 일환으로 새로운 도어락 설치를 요구하기 시작했으나, 전면적인 교체까지는 상당한 시간이 필요할 것으로 보인다.
반면 올덴티케이트의 채드 스펜스키 CEO는 “기존의 키카드 시스템이 보안상 취약점이 발견되더라도 이를 패치하기가 매우 어려운데 반해, 새로운 스마트폰 기반 시스템은 취약점 발견 시 즉각적인 무선 패치가 가능하다는 장점이 있다.”고 말했다. 하지만 이는 호텔이 완전한 디지털 시스템을 갖춘 경우에만 해당된다. 부분적 업그레이드 상태에서는 오히려 보안 위험이 더 커질 수 있다는 것이 전문가의 지적이다.
해결책을 찾아서
호텔업계는 이러한 위협에 대응하기 위해 어떤 노력을 하고 있을까? 일부 대형 호텔들은 CISO(최고정보보호책임자)를 신설해 전담 조직을 구축해 놓았다. 롯데호텔앤리조트는 지난 2019년 정보보호팀에서 대책을 마련하고 보안 조치를 설계 및 구현을 이끌어 나갈 김재귀 부문장을 새롭게 영입했다. 보안이 호텔 운영의 핵심 요소로 자리 잡은 만큼, 전문성 없이는 경쟁력을 유지할 수 없는 시대가 온 것이다.
중소형 호텔들을 위한 지원이 필요하다는 목소리도 높다. 익명의 업계 관계자는 “대형 호텔들은 자체적인 보안 시스템을 구축할 수 있지만, 중소형 호텔들은 여력이 부족하다.”며 정부나 지자체, 혹은 협회 차원에서 지원이 있다면 좋을 것이라는 의견을 전했다.
디지털 전환은 더 이상 선택이 아닌 필수가 됐다. 중요한 것은 어떻게 위험을 관리하느냐다. 보안을 비용이 아닌 투자로 인식해야 하며, 기술적 대응과 함께 인적 역량 강화가 필요해 보인다. 아무리 좋은 시스템도 사용자의 보안 의식이 없으면 무용지물이기 때문이다.
호텔업계가 직면한 디지털 보안의 도전은 이제 시작일 뿐이다. 이 도전을 어떻게 극복하느냐가 미래 호텔산업의 성패를 가를 것이다.
![[단독] 한화그룹, 딥시크 차단키로…재계 그룹사 첫 금지령](https://newsimg.sedaily.com/2025/02/06/2GOV5DZ5JG_1.jpg)
![[팩플]‘정보 수집 거부’ 선택권도 없다…딥시크가 챗GPT보다 위험한 이유 셋](https://pds.joongang.co.kr/news/component/htmlphoto_mmdata/202502/06/2f029694-4b4c-43b1-8c19-3ec5d0bb86d4.jpg)