Marriott settles for $52M after years-long breaches
Marriott settles for $52M after years-long breaches
Intruders stayed for free on the network between 2014 and 2020
www.theregister.com
- 사건 개요
- Marriott는 2014년부터 2020년까지 발생한 일련의 데이터 유출 사건에 대해 $5200만 벌금을 지불하고, 정보보호 프로그램을 개발하기로 합의함
- 이 사건들은 344백만 명 이상의 개인 정보 유출에 영향을 미침
- Starwood Hotels와 Marriott에서 발생한 네트워크 침입이 주된 원인으로 지적됨
- 주요 이슈
- 고객 정보 유출
- 고객의 이름, 결제 카드 정보, 여권 번호 등의 민감한 정보가 수년에 걸쳐 유출됨
- 보안 취약점:
- 비밀번호 관리 및 접근 제어 미흡
- 네트워크 분리 및 패치 관리 부실
- 다중인증(MFA)이 전반적으로 적용되지 않음
- 로그 및 네트워크 모니터링 부재
- 고객 정보 유출
- 조치 및 합의 내용
- $5200만 벌금:
- 미국 49개 주와 워싱턴 DC가 조사에 참여하였으며, 벌금은 각 주에 분배됨
- FTC와의 합의:
- Marriott와 Starwood는 정보보호 프로그램을 강화해야 하며, 3자 평가를 2년마다 시행해야 함
- 고객 정보 삭제 요청 기능 제공: 고객 포털을 통해 개인 정보 삭제 요청 가능
- 보안 개선 사항: 다중 인증, 네트워크 분리, 데이터 암호화 등을 포함한 사이버 보안 조치 강화
- $5200만 벌금:
- 사고 세부사항
- 2014년~2020년 사이 여러 차례 네트워크 침입 발생
- 2014년 6월: Starwood에서 고객 결제 카드 정보 탈취, 14개월간 탐지되지 않음
- 2018년: Starwood의 339백만 건 이상의 고객 계정 정보 및 여권 번호 유출 사건
- 2020년: Marriott 네트워크에 대한 침입이 탐지되었으며, 1.8백만 명의 개인 정보 유출
- 2014년~2020년 사이 여러 차례 네트워크 침입 발생
- 향후 계획
- 정보보호 강화: 독립적인 보안 평가와 고객 정보 보호 방안 지속
- 사이버 보안 조치: 불필요한 고객 정보는 최대한 빨리 삭제하고, 다중 인증과 데이터 암호화 도입을 통해 정보보호 체계 강화
- 로열티 프로그램 보호: Marriott Bonvoy 로열티 계정에서 의심스러운 활동을 고객이 직접 보고할 수 있는 절차 마련
- 시사점
- Marriott는 데이터 유출 사건에 대해 책임을 인정하지 않았으나, 보안 프로그램을 강화하고 고객 정보 보호를 위한 새로운 조치를 도입하기로 합의
- 이번 사건은 대형 호텔 체인에서 발생한 보안 관리 부실의 심각성을 강조하며, 고객 보호를 위한 보다 철저한 사이버 보안 관리의 필요성을 보여줌
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| Azure 자동화 Runbook 만들기 (0) | 2024.11.10 |
|---|---|
| Imperva Adaptive Threshold: 레이어 7 DDoS 공격 방어로 온라인 서비스 보호 (0) | 2024.11.10 |
| Google, GASA 및 DNS RF와 협력하여 대규모 온라인 사기 대응 (0) | 2024.11.10 |
| 오픈소스와 AI: 해결책이 될 수 없는 이유 (1) | 2024.11.02 |
| 파이썬 3.13 주요 변화와 의미 (0) | 2024.11.02 |