팩스턴 법무장관, 카니발 크루즈 조사 착수
텍사스주 켄 팩스톤 법무장관이 세계 최대 크루즈 기업 중 하나인 Carnival Corporation의 대규모 개인정보 유출 사고에 대해 공식 조사에 착수했다.
법무장관실에 따르면 지난 4월 발생한 사이버 공격으로 전 세계 약 600만 명의 고객 정보가 유출됐으며, 이 가운데 텍사스 주민만 80만60명에 달하는 것으로 파악됐다.
카니발은 여러 크루즈 브랜드를 운영하며 고객 계정 생성, 여행 예약, 고객 서비스 이용, 리워드 프로그램 가입 과정에서 다양한 개인정보를 수집하고 있다.
유출 가능성이 있는 정보에는 이름 및 연락처, 생년월일, 신용카드 및 결제 정보, 여권 정보, 운전면허 정보, 건강 관련 정보, 기타 개인 식별 정보가 포함된다.
카니발 측은 지난 4월 자사 IT 보안팀이 비정상적인 시스템 접근을 발견했다고 밝혔다.
회사에 따르면 해커는 사회공학적 공격을 통해 직원 한 명의 계정을 탈취했고, 이를 이용해 일부 내부 시스템에 무단 접근한 것으로 조사됐다.
카니발은 조사 결과 일부 고객 개인정보가 불법적으로 열람된 사실을 확인했다고 인정했다.
텍사스 법무장관실은 카니발이 데이터 유출 사실을 인지한 뒤 44일이 지나서야 주정부에 공식 통보했다고 밝혔다.
이에 따라 법무장관실은 이미 민사조사요구서를 발부해 개인정보 보호 조치가 적절했는지, 텍사스 소비자 정보를 충분히 보호했는지, 주법이 요구하는 보안 절차를 준수했는지 조사하고 있다.
팩스턴 장관은 성명을 통해 “카니발이 법을 위반했는지 여부를 철저히 조사할 것” 이라며 “데이터 유출은 매우 심각한 문제이며 텍사스 주민들의 민감한 개인정보를 보호하는 것이 우리 사무실의 최우선 과제”라고 강조했다.
카니발은 이번 조사에 적극 협조하겠다는 입장을 밝혔다.
회사는 “영향을 받은 고객들에게 개별 통지를 진행하고 있으며, 개인정보 보호를 위해 추가 보안 계층과 모니터링 시스템을 도입했다”고 설명했다.
보안 전문가들은 카니발로부터 유출 통보를 받은 고객들에게 신용카드 및 은행 거래 내역 수시 확인, 계정 비밀번호 변경, 다중인증(MFA) 설정, 신용조회 모니터링 서비스 가입, 필요 시 신용동결 실시를 권고하고 있다.
특히 여권번호나 운전면허 정보가 포함됐을 가능성이 있는 만큼 신원도용에 대한 각별한 주의가 요구된다.
이번 사건은 최근 기업들을 대상으로 한 사회공학적 해킹 공격이 급증하는 가운데 발생한 대형 개인정보 유출 사례로, 향후 텍사스주의 조사 결과와 제재 여부에 관심이 집중되고 있다.
정리 = 최현준 기자
