개인정보 유출사건 관련 정보와 문의처를 안내하고 있는 메리어트 계열 스타우드호텔 홈페이지.
영국 브리티시항공이 역대 최대 규모의 GDPR(유럽 개인정보보호규정) 벌금을 부과받은 지 하루 만에 세계 최대 호텔그룹인 메리어트인터내셔널에도 1500억원에 가까운 벌금 조치가 내려졌다.
10일 로이터, BBC 등 외신에 따르면 영국 ICO(정보위원회)는 대규모 고객정보 유출 사건이 벌어진 메리어트인터내셔널에 1억2400만달러(약 1460억원)의 벌금 부과계획을 통보했다. 메리어트는 해킹으로 인해 스타우드 계열 호텔의 예약시스템에 들어 있던 고객정보가 2014년부터 4년간에 걸쳐 유출됐다고 지난 11월 발표한 바 있다. 이 사건으로 고객 3억3900만명의 고객정보가 해커들에 의해 외부로 유출된 것으로 알려졌다.
조사 결과, 해커들은 2014년부터 스타우드호텔을 해킹해 개인정보를 외부로 빼 갔다. 메리어트호텔은 2016년 스타우드호텔을 인수했지만 사실을 파악하지 못한 채 시스템을 운영해 지난해 11월까지 해킹이 계속 됐다. 유출된 3억3900만명의 데이터 중 3000만명은 유럽인, 700만명은 영국인인 것으로 파악됐다. 유출된 정보 중에는 500만명의 여권번호, 800만명의 신용카드 기록이 포함됐다. 메리어트호텔은 EU(유럽연합) GDPR과 관련해 브리티시항공(2억3000만달러, 약 2700억원)에 이어 역대 두번째 많은 벌금을 내게 됐다.
안 소렌슨 메리어트 최고경영자(CEO)가 ICO 발표 후 즉각 이의제기에 나서겠다는 의지를 밝혔지만 4년 간이나 해킹에 무방비로 시스템을 운영했다는 점에서 책임을 피하기 힘들 전망이다.
브리티시항공과 메리어트호텔은 일반 소비자 상대로 사업을 하는 B2C 서비스 기업이라는 공통점이 있다. IT가 주업이 아닌 비 IT기업들이 연이어 허술한 보안체계로 인해 거액의 벌금을 부과받음에 따라 전 산업 영역에서 보안인식과 투자 강화에 대한 경고음이 커질 전망이다.
GDPR에 따르면 기업은 개인정보 보호 위반사항이 있을 경우 이를 의무적으로 정보위원회에 보고해야 하고, 개인정보 보호를 제대로 하지 않은 기업은 전 세계 매출액의 최대 4%를 벌금으로 내야 한다.
브리티시항공은 2017년 매출의 1.5%를 벌금으로 부과받았다. 메리어트인터내셔널의 벌금은 2018년 매출 36억달러의 약 3%에 달한다. 액수는 브리티시항공의 절반이 약간 넘지만 매출액 대비 벌금 비율은 2배다. 브리티시항공의 피해 규모가 50만명이었다면 메리어트호텔은 3억3900만명으로 훨씬 많고 기간도 길었던 것이 결정에 영향을 미친 것으로 분석된다.
엘리자베스 덴햄 ICO 위원장은 "개인정보 보유 기관들은 그에 따른 합당한 보안 관련 법적 의무를 이행해야 한다"면서 "앞으로도 공공의 이익을 보호하기 위해 필요한 강력한 조치를 해나갈 것"이라고 밝혔다.
