“고객 여권정보 새나갔는데 4년간 몰라”··· 메리어트, 데이터 유출 책임으로 700억원 벌금 지불

미국 연방거래위원회(FTC)는 메리어트 인터내셔널(Marriott International, 이하 메리어트)과 그 자회사인 스타우드 호텔 앤 리조트 월드와이드(Starwood Hotels & Resorts Worldwide LLC, 이하 스타우드)가 2014년부터 2020년 사이에 발생한 세 건의 대규모 데이터 유출 사건과 관련하여 조사 결과와 합의 사항을 9일 발표했다.

메리어트는 미국 전역과 130개국 이상에서 7,000개 이상의 계열사 호텔을 관리하고 있으며, 2016년에 스타우드를 인수한 이후 메리어트 계열 호텔과 스타우드 호텔에서 운영하는 데이터 보안 기술 및 정책을 총괄하고 있다. 스타우드는 인수되기 전 세계 약 1,300개 이상의 호텔과 리조트를 운영했으며, 산하 호텔에 쉐라톤(Sheraton), W 호텔(W Hotels) 등이 있다.

FTC가 제출한 고소장에 따르면, 메리어트와 스타우드가 적절한 데이터 보안 기술 및 정책을 제공했다고 주장했지만 실제로는 개인 정보를 보호할 수 있는 합리적이거나 적절한 보안 조치를 취하지 않았다고 밝혔다. 구체적으로, 메리어트와 스타우드는 적절한 비밀번호 관리, 접근 제어, 방화벽 제어, 네트워크 분할을 구현하지 않았다. 또한 오래된 소프트웨어와 시스템에 대한 보안 업데이트를 진행하지 않았고, 네트워크 환경을 적절하게 기록하고 모니터링하지 않았으며, 다중 인증도 배포하지 않았다.