[Feature Hotel_Ⅱ] 호텔의 IT 보안, 어디까지 왔나?_ 호텔 고객 정보 보호를 위한 솔루션

2019.03.11 09:20:42


지난해 말, 메리어트에서 터진 최악의 보안 사고로 고객 3억 8000만 명의 정보가 유출돼 많은 이에게 충격을 안겼다. 고객 개인정보를 다루는 호텔업계에서 보안 관련 문제는 언제나 민감한 이슈가 될 수밖에 없다. 그렇다면 지금 국내 호텔업계의 IT 보안의 현주소는 어떤지 알아봤다.
호텔의 고객 정보 보호는 어떻게 이뤄지고 있는지, 그리고 호텔에서 가능한 효과적인 IT 보안의 방향성은 무엇일까?


메리어트 호텔 해킹 사건
지난해 11월, 메리어트 인터내셔널에서 대형 보안 사고가 터졌다. 스타우드의 예약망 시스템에 침입한 해커의 공격으로 고객 3억 8000만 명의 정보가 유출된 것이다. 고객의 이름, 성별에 해당하는 기본적인 정보부터, 호텔 예약과 체크인 스케줄, 선호하는 연락 방법, 게다가 암호화 되지 않은 여권 번호가 500만 건이나 유출됐다. 2018년에 발생한 최대 해킹 사고였으며, 미국 정부와 FBI까지 나서 입장 발표를 했다. 현재까지 밝혀진 바에 따르면, 이들은 중국 해커를 범인으로 지목하고 있다.


이 사건은 정확히 말하면, 메리어트가 아니라, 2016년에 인수한 스타우드 호텔의 예약 시스템에 문제가 생긴 것이었다. 실제로 스타우드는 2014년에 데이터베이스에 멀웨어 공격이 있다고 보고한 바 있다. 


한국정보기술연구원 BoB센터 조규형 센터장은 이에 대해 “메리어트 호텔의 해킹 사고의 경우, M&A 과정에서 보안 문제를 철저하게 검토하지 못한 것이라 생각되며, 이는 보안의 중요성에 대한 인식이 미비하기 때문에 점검해야 할 요소에서 누락돼 벌어진 사건으로 보인다.”라고 언급했다.



메리어트는 스타우드와 손을 잡아 세계에서 가장 큰 호텔 체인을 탄생시켰지만, 아이러니하게도 스타우드의 보안 시스템에 문제가 생긴 탓에 ‘메리어트 해킹 사고’라는 오명을 쓰게 됐다. 이러한 대규모의 투자가 진행되는 프로젝트에서마저 보안의 중요성에 대한 인식이 부족한 상황이다.


국내 호텔의 IT 보안 현황
그렇다면 국내 호텔에서는 IT 보안이 어떻게 진행되고 있을까? 현재 국내 각 호텔의 IT 보안 관리 체계는 관련 전문가들이 ‘춘추전국시대’라고 표현할 만큼, 사업장의 특성에 따라 매우 상이하다. 일반적으로 표준화를 해보면, 글로벌 체인 호텔이나 대규모 특급호텔의 경우, 주로 호텔 내 IT 전산팀에서 보안 업무를 함께 맡고 있다. 경우에 따라 추가로 외부 보안 전문 업체와 협력하기도 한다. 3/4성급의 중소형 호텔은 일반적으로 따로 팀을 꾸리지 않고 호텔 내 직원들이 자체적으로 관리를 하고 있는데, 고객들의 여권번호는 체크아웃 시 폐기를 하고, 이름과 전화번호 정도 보관을 한다. 서울의 한 부티크 호텔 직원은 “개인정보 보안 및 유출에 관한 부분은 민감한 이슈이기 때문에, 호텔 차원에서 웬만하면 고객 정보를 받지 않으려고 한다. 워크인 고객에게는 레지스트레이션 카드만 받고, OTA를 통해 들어온 바우처에는 투숙객 이름, 체크인/아웃 날짜, 결제한 금액, OTA 정보, 안심번호 정도만 기제돼있다.”고 밝혔다.


IT 보안의 천문학적 비용,
개별 호텔에서 가능한 대응 방안

IT 보안은 호텔뿐만 아니라 고객의 개인정보를 다루는 모든 기업에게 중요하다. 하지만 실제로 주요 정보통신 기반 시설을 제외하고, 고도화된 보안 기술을 갖춘 사업장은 많지 않다. 해킹의 가능성은 10~20%정도이기 때문에, 일반적으로 예산 순위에서 밀리게 되는 것이 현실이고, 호텔업계 역시 상황은 마찬가지다.


호텔의 예약망 데이터베이스는 PMS 시스템에서 이뤄지기 때문에, 호텔의 IT 보안은 결국 PMS의 보안이 핵심이 될 것이다. 국내 체인 호텔에서는 대부분 오라클 사의 오페라, 혹은 산하정보기술의 PMS를 이용하고 있다. 이러한 PMS 시스템의 업데이트 주기는 대략 3~7년인데, 보안을 강화하려면 당연히 최신형 서버로 업그레이드해야 한다. 그렇지만 그러기 위해서는 하드웨어와 소프트웨어를 합쳐 억 단위의 천문학적인 비용이 들어가기 때문에, 호텔 입장에서는 현실적으로 매번 시스템을 갖추기는 제약이 많다.

 
그렇다면 호텔에서 할 수 있는 대응 방안은 무엇일까? 가장 좋은 건 IT 담당자가 최소한 매일 아침, 저녁마다 시스템을 점검하는 것이다. IT 비용을 늘려 데이터베이스 보안 암호화 솔루션을 적극적으로 구입할 필요도 있다. 더불어, 적어도 인력으로 인해 고객 개인정보가 빠져나가지 않도록 주의해야한다. 워커힐 호텔앤리조트의 IT 보안 담당자는 “호텔 고객 개인정보 보호를 위해 개인정보보호 관리시스템인 ‘PIMS(Personal Information Management System)’와 정보보호 관리시스템인 ‘ISMS(Information Security Management System) 인증을 매년 갱신하고 있다. 또한, 다루는 고객 정보의 레벨에 따라 구성원 대상으로 최소 연1회 개인정보보호 교육을 실시한다. 개인정보를 다루는 모든 시스템을 새로이 개발 또는 변경할 경우, 철저하게 보안 진단 및 개인정보영향평가를 진행한다.”고 전했다.


중소형 호텔의 경우 보안 이슈로 봤을 때 해커가 침입할 확률은 5% 미만이다, 해커 입장에서 고객 데이터베이스가 적은 중소형 호텔을 애써 공격할 이유가 없기 때문이다. 그래서 이러한 호텔에서는 고객정보를 보호하기 위해 바이러스에 주의해야한다. 실제로 업계 종사자에 따르면 최근 렌섬웨어에 감염돼 피해를 본 호텔들이 적지 않다고 전한다. 이러한 상황에 대비하기 위해서는 가능한 바이러스에 대처하도록 전사적으로 직원들에 대한 IT 교육이 정기적으로 실시돼야 한다.


호텔 고객 정보 유출의 X맨, OTA
놀랍게도 호텔 투숙객의 정보 유출은 호텔이 아닌, OTA에서 가장 빈번하게 일어난다. 대부분의 예약과 결제가 OTA를 통해 이뤄지기 때문에, 해커 입장에서는 개별 호텔보다 훨씬 효과적인 표적이기 때문이다. 그래서 OTA야말로 IT 보안에 주의해야할 주체가 돼야 하지만 실상은 그렇지 못하다.


대표적으로 지난해 7월에는 프랑스의 호텔예약 소프트웨어 패스트부킹이 해커의 공격을 받았지만 크게 이슈화되지 않았다. 이 사고로 인해 패스트 부킹과 협력 관계에 있는 전 세계 100개국의 4000개 호텔 투숙객들 개인정보가 빠져나갔고, 여기에는 고객 신용카드의 카드번호, 만료일자 등이 포함돼 문제가 컸다.



글로벌 OTA의 서버 자체가 해외에 있기 때문에 국내법의 영향을 받지 않고, 이에 대한 후속 조치도 딱히 없기 때문에 OTA 자체적으로 IT 보안 체계를 구축하려는 필요성을 느끼지 않는다. 이렇게 OTA에서 고객 정보가 유출될 경우 책임 소재는 고스란히 호텔을 향한다. B 호텔의 IT 담당자는 “현재까지 OTA와 관련해 생기는 보안 문제에 대한 뾰족한 대응책은 없다. 이로 인해 개별 호텔이 겪는 피해도 크다. 피해 고객들의 컴플레인은 일반적으로 호텔을 향하며, 글로벌 OTA는 법적 제제를 받지 않기 때문이다. 다양한 방면에서 보안암호화에 대한 대응책을 호텔과 OTA 사이에 협의해 나갈 필요가 있다.”라며 안타까움을 드러냈다.


호텔업계 IT 보안의 전망
다른 산업 분야와 마찬가지로, 호스피탤리티 업계도 클라우드를 기반으로 한 시스템으로 변화할 조짐을 보이기 시작했다. 실제로 대표적인 PMS 기업들은 클라우드 시스템을 제공하고 있고, 해외에서 이미 도입한 호텔도 있다. 클라우드 기반의 PMS를 이용하면 데이터를 인터넷과 연결된 중앙컴퓨터에 저장해서 인터넷에 접속하기만 하면 언제 어디서든 데이터를 이용할 수 있다. 한 번에 2~3개의 호텔을 관리할 수도 있어, 기존 PMS 시스템보다 비용이 상당히 절감되는 효과를 기대할 수 있다. 다만, 모든 시스템이 연결돼있기 때문에 한 번 문제가 생길 경우, 연결된 모든 데이터가 손상을 입을 수 있다는 단점도 존재한다.



업계 관계자에 따르면 이러한 솔루션 및 클라우드 서비스를 제공하는 기업의 보안 수준을 주의 깊게 살펴보는 것이 중요하다. 그는 “국내법뿐만 아니라 PCI(Payment Card Industry) 보안표준 위원회에서 제시하는 기준과 유럽연합의 개인정보보호 규정(GDPR, General Data Protection Regulation) 등 해외 보안 규정을 준수하고 있는지에 대한 여부를 검토해야한다.”라고 당부했다.


한국정보기술연구원 BoB센터 조규형 센터장은 IT 보안의 중요성에 대해 “호텔뿐 아니라 대부분의 기업에서 보안 사고는 우선 브랜드 가치 하락으로 이어진다. 또한 아직까지 우리나라에서는 징벌적 손해배상이 미비한 상황이지만, 해외의 경우 정보유출 사고 발생 시 막대한 금전적 배상과 함께 CEO가 사임까지 하는 게 일반적”이라고 이야기한다. 비용과 OTA의 보안 이슈로 호텔업계는 여러 가지 어려움을 겪고 있다. ‘보안에서 100%는 없다’고 이야기하지만, 그렇다고 해서 투자를 놓쳐서는 안 된다. 더군다나 4차 산업혁명시대에 진입하며 더욱 고도화된 IT 보안에 대한 방안을 호텔 측에서도 적극적으로 강구해야한다. 무엇보다 고객과의 신뢰를 위해 호텔 내부의 의사결정자들이 IT 보안에 대한 인식 수준을 높여 가능한 위험에 대비하기를 바란다.


“호스피탤리티업계에 효과적인 IT 보안 조치를 통해
위험 상황에 대비해야”

한국정보기술연구원 BoB센터 조규형 센터장



본인 소개, 현재 하는 일에 대해 알려 달라.
산업통상자원부 산하의 전문생산기술 연구소인 한국정보기술연구원에서 차세대 보안리더 양성 프로그램 Best Of the Best(BoB) 프로그램을 운영하는 BoB 센터의 센터장을 맡고 있다.


현재 국내의 IT 보안 기술은 얼마나 성장해있나?
우리나라는 세계 최고수준의 보안 인재를 보유했지만, 그에 미치지 못하는 투자로 인한 열악한 인프라를 갖췄다. 세계적인 수준의 보안업체는 전무하다시피하며, 연간 1000억 이상의 매출을 기록하는 기업도 손에 꼽는다. 그렇지만 우리나라는 다수의 세계 해킹대회에서 우승하는 해커들을 배출하고 있다. 지난해 LA에서 열린 세계 최고의 해킹대회 DEFCON CTF에서도 본선에 진출 한 15개 팀 중 4개가 한국 팀이었으며, 그중 한 팀이 우승을 차지했다.


보안 기술이 필요한 국내 개별 사업체들이 현재 보안 시스템을 활용하는 수준은 어떠한가?
보안 시스템들은 대부분 IT나 인터넷 관련 기업이 도입하고 있다. 또한 금융, 방송이나 주요 정보통신 기반 시설에서 거의 의무적으로 도입해야 한다. 기본적인 보안관제와 컨설팅 등은 법적으로 주요 정보통신 기반시설에만 적용되고 있다. 이에 비해 IT가 주력이 아닌 대부분의 업종에서는 보안은 어디까지나 후순위 비용일 뿐이다.


고객 정보를 다루는 국내의 기업이나 호텔에서 현재 IT 보안에 대한 인식은 어떠하다고 생각하는가?
호텔 쪽 보안 현황과 관련해 정확한 통계는 본적이 없지만, 호텔에서 일반 IT 분야가 아닌 정보보안 담당자를 채용하는 경우는 거의 본 적이 없는 것 같다. 일반적으로는 금융, IT와 관련된 국가인프라, 군, 의료 정보 등에는 관심을 많이 가지고 있는데, 호텔 쪽에서는 아직 관심을 보이지 않고 있는 것으로 안다.


작년 메리어트 해킹 사태로 멤버십 3억 명의 정보가 유출됐다. 보안 전문가로서 이 사건에 대한 시사점, 또 개인정보가 민감한 호텔업계에 제언할 사항이 있다면 무엇인가?
고객정보 관리 미비로 인한 고객의 민감 정보가 유출 혹은 손실될 경우 중요 고객들을 놓칠 수도 있겠고, 고객 당사자도 예상치 못했던 피해를 가져올 수 있다. 일례로 해외 출장 시 여권 정보를 수집하던 숙박업소들이 제법 있었다. 정보유출 사고가 발생된 기업에 이러한 정보를 제출해야 하는 경우가 생긴다면 고객 입장에서는 꺼림직할 것이다.


대부분의 호텔은 객실에서 무선 랜을 사용할 수 있도록 제공하고 있는데, 이러한 호텔 내부 네트워크가 범죄에 악용될 수 있다. 최소한 호텔 측에 책임이 없다는 명백한 증거를 제시할 수 있을 정도로 네트워크에 대한 관리 수준을 높일 필요가 있다고 본다. 해커들은 항상 가장 취약한 부분을 파고들어 공격한다. 호텔 네트워크가 다른 곳보다 취약하다는 인식이 개선되지 않으면 악의적 해커가 범죄를 저지르는 통로로 이용될 수 있으니 유의해야한다.


국내 호텔업계에서 현재 IT 보안 시스템은 업계 종사자들이 ‘춘추전국시대’라고 부를 만큼 각양각색이라고 전한다. 또, IT 보안에 실질적으로 투자하는 것이 우선순위에서 밀려나는 일이 잦다고 하는데, 전문가로서 호텔 업종의 IT 보안의 중요성에 대해 어떻게 생각하는지?
각양각색이라는 의미는 무엇 하나 확실한 솔루션이 있는 것이 아니라, 문제가 발생했을 때 임시방편으로 조치를 취하는 것일 테다. 이런 방식으로는 앞으로 발생할 수 있는 사고를 효과적으로 대응하기 어려울 것이다. 서비스 업종에서 경쟁력 향상을 위해 고객관리와 최신시스템 도입에 관심이 있는 호텔이라면 IT 보안을 모든 의사결정의 토대로 둬야한다. 고객의 프라이버시가 쉽게 노출될 수 있다고 알려진 호텔이 과연 오래 살아남을 수 있을까? IT 시스템은 편리함을 제공하지만, 그만큼 철저한 보안관리를 위한 노력과 투자가 뒤따라야 한다.


실질적으로 호텔 고객정보는 해커의 표적인 OTA 쪽 보안이 취약하다는 게 문제가 되는 것으로 알고 있다. 그렇지만 특히 글로벌 OTA 같은 경우는 국내법에 제약을 받지도 않아 더욱 어려운 상황이다. 이에 관해 어떤 해결 방안이 있을까?

글로벌 OTA와 협업을 배제하기 어려운 상황에서 호텔이 자기 보호적 관점에서 접근할 필요가 있다. 정보유출 사건이 발생했던 한 인터넷 쇼핑몰의 경우, 필요한 할 수 있는 조치를 최선을 다해서 수행했음이 인정돼 면책된 판례도 있었다. 손 놓고 있다가 피해를 뒤집어쓰는 것보다는 가능한 보안 조치를 수행해둬야 한다. 자체적으로 정보보호 조치에 대해 강화하는 것과 더불어 제3의 전문기관이나 보안컨설팅 업체 등을 통해 정기적으로 점검하며 컨설팅을 받기를 권한다. 또, ‘정보보호 및 개인정보보호 관리체계 인증’을 받아놓는 것은 매우 권장할 만한 방법이다.


더불어, 비교적 해커의 표적이 되기 쉬운 대규모 호텔 체인 운영자 입장에서는 매번 시스템을 최신 버전으로 업데이트 하는 데 드는 비용이 만만치 않다고 들었다. 호텔 운영자 입장에서 보안과 비용, 그 사이에서 어떻게 중심을 잡는 것이 좋을까?

이 부분은 일반 IT 분야에 대한 인식 개선과 일맥상통한다고 볼 수 있다. 비단 호텔 분야의 문제만은 아니다. 현실적으로 보안이 중요하니까 무조건 보안에 투자하라고 일방적인 주장을 해서도 안 된다. 호텔의 입장에서 IT 보안 기술의 도입이 수익 창출에 기여가 될 만한 방향을 고민해볼 필요가 있다. 또, 도입을 검토하는 단계에서부터 수익뿐만 아니라 유지보수와 보안에 대한 중장기적 검토가 충분히 이루어진 후 의사결정이 이뤄져야겠다.


시스템을 최신으로 업데이트해야 함은 기본이지만 매번 최신 솔루션을 구매하는 것을 의미하지는 않는다. 도입 후 유지보수, 벤더가 제공하는 정품에 대한 패치 등은 초기투자 이후에 시스템 관리의 영역이다. IT 보안 시스템 도입의 효과를 일정부분 관리의 비용으로 생각하는 관점의 전환이 필요하다.


4차 산업혁명 및 사물인터넷 시대를 맞아 호텔업계에서 관심을 가져야할 보안 시스템은 무엇이라고 전망하는가?

지켜야할 정보가 무엇인지에 포커스를 둬야한다. 개인 고객에 대한 정보보호를 위해서는 암호화 및 정보 처리 권한을 효율적으로 관리할 수 있는 시스템이 적합하다. 고객 개인정보는 호텔입장에서 고객관리와 분석을 통한 홍보와 수익창출이라는 가치를 가지고 있다. 기술이 발달하면서 정보를 처리하는 프로세스와 데이터 분석 등의 정보처리 과정에서 2차, 3차적인 분석으로 유출될 수 있는 민감 정보가 이슈화될 수 있다.


이와 함께 4차 산업혁명으로 대표되는 신기술 혹은 시스템 도입 시 발생할 수 있는 문제점에 대한 선제적 대응 및 고려가 필요하다. 단적인 예로, 스마트 도어락을 도입하면 편리함만 볼 것이 아니라 이로 인해 발생 가능성이 있는 보안 문제도 점검해봐야 한다. 꼭 필요한 지역에 CCTV를 설치해 영상을 녹화하고 관리하고 있지만 제대로 관리가 안 될 경우 인터넷을 통해 외부에 노출되기도 하니 유의해야 한다.










93건의 관련기사 더보기