메리어트, 데이터 유출 조사 해결을 위해 5,200만 달러 지불 및 데이터 보안 강화

메리어트 인터내셔널이 데이터 보안을 강화하고 5,200만 달러를 지불하기로 합의하여 전 세계 3억 명 이상의 고객에게 영향을 미친 대규모 데이터 유출 사건과 관련된 주 및 연방의 청구를 해결했다.

연방거래위원회(FTC)와 49개 주 및 컬럼비아 특별구의 검찰총장 그룹은 메리어트와의 개별 합의 조건을 발표하며, 2014년부터 2020년까지 발생한 세 건의 데이터 유출 사건에 대한 병행 조사 결과를 공유했다.

이 데이터 유출 사건으로 인해 “악의적인 행위자”들이 수억 명의 소비자로부터 여권 정보, 결제 카드 번호, 로열티 번호, 생년월일, 이메일 주소 등 개인 정보를 탈취한 것으로 나타났다.

FTC는 메리어트와 자회사인 스타우드 호텔 & 리조트 월드와이드의 열악한 데이터 보안 관행이 이러한 유출을 초래했다고 주장했다. 특히, 적절한 비밀번호 관리, 네트워크 모니터링 및 데이터 보호를 위한 기타 안전 조치가 부족했다고 밝혔다.

FTC와의 합의의 일환으로 메리어트는 “강력한 정보 보안 프로그램”을 구현하고, 모든 미국 고객이 자신의 이메일 주소나 로열티 보상 계좌 번호와 관련된 개인 정보를 삭제 요청할 수 있는 방법을 제공하기로 하였다. 또한, 메리어트는 각 주에 지불해야하는 5,200만 달러의 벌금도 지불하기로 했다.

메리어트는 2018년 11월에는 해커가 최대 3억 8,300만 명의 고객 정보를 접근한 대규모 데이터 유출 사건을 발표했다. 이 사건에서는 최소 520만 명의 고객에 대한 암호화되지 않은 여권 번호와 860만 명의 고객에 대한 신용 카드 정보가 노출되었다. 이들 고객의 정보는 2016년 메리어트에 인수되기 전 스타우드가 운영했던 호텔 브랜드와 관련이 있다.

이후 2020년 초, 메리어트는 두 명의 직원이 로그인이 되지 않고 예상치 못한 양의 고객 정보가 접근되었다는 사실을 발견했다. 이때 회사는 약 520만 명의 고객 개인 데이터가 영향을 받을 수 있다고 추정했다.

FBI는 해당 데이터 절취 사건의 조사를 주도했으며, 조사자들은 해커가 중국 국가안전부를 대신해 활동하고 있다고 의심하고 있습니다.