미국 연방거래위원회(FTC)가 메리어트의 개인정보 유출에 대한 합의안 발표

코로나 이전에 메리어트(+스타우드)에서 엄청나게 큰 규모의 개인정보 유출이 있었습니다.

2014년부터 2020년까지 발생한 3건의 대규모 데이터 유출로

전 세계 3억 4,400만 명 이상의 고객의 정보가 유출되었었는데요.

[

약 5억명에 달하는 메리어트(Marriott) 호텔 고객의 개인정보가 해킹

지난 11/30일 메리어트(Marriott)는 고객 정보가 해킹당했다고 발표했습니다. 스타우드(Starwood) 호텔의...

blog.naver.com

](https://blog.naver.com/geniusjo1984/221410761064)

[

메리어트(Marriott) 해킹 사태에 대한 추가 정보2

작년 12월 중순에 메리어트의 해킹 사태에 대해 중국의 개입이 의심된다고 말씀드렸는데요. 알려드린 정보...

blog.naver.com

](https://blog.naver.com/geniusjo1984/221441122752)

​

그당시 제가 정리했던 호텔들의 개인정보 유출 사례에 비춰봐도 역대급이었습니다.

[

호텔의 개인정보 유출 사례들

메리어트의 역대급 해킹이 이슈인 가운데... 2015년부터 올해까지 터진 호텔의 개인정보 유출 사례들을 정...

blog.naver.com

](https://blog.naver.com/geniusjo1984/221415622444)

​

이게 미국 연방거래위원회(FTC)에서 조사를 한다고 한지 꽤 지난것 같은데

이제서야 결과가 나왔습니다.

(FTC이다보니 미국 내용만 있습니다.)

[

FTC Takes Action Against Marriott and Starwood Over Multiple Data Breaches

The Federal Trade Commission will require Marriott International, Inc.

www.ftc.gov

](https://www.ftc.gov/news-events/news/press-releases/2024/10/ftc-takes-action-against-marriott-starwood-over-multiple-data-breaches)

[

Multistate Settlement with Marriott for Data Breach of Starwood Guest Reservation Database

Attorney General Tong announced today that a coalition of 50 attorneys general, co-led by Connecticut, has reached a settlement with Marriott International, Inc. as the result of an investigation into a large multi-year data breach of one of its guest reservation databases.

portal.ct.gov

](https://portal.ct.gov/ag/press-releases/2024-press-releases/multistate-settlement-with-marriott-for-data-breach-of-starwood-guest-reservation-database)

​

우선 메리어트의 문제점은 아래와 같은 보안 관련 사항을 이행하지 않고 있었다는 것인데요.

-적절한 암호 제어

-액세스 제어

-방화벽 제어 또는 네트워크 세분화 구현

-오래된 소프트웨어 및 시스템 패치

-네트워크 환경의 적절한 기록 및 모니터링

-적절한 다중 요소 인증 구축

위 내용들이 어떤 기술인지 명확히 알긴 어려워도

기술 이름만 봐도 감이 오실겁니다.

​

이러한 문제들로 인해 발생하게 된 개인정보 유출로 인해 메리어트는 FTC와 합의하게 되었습니다.

아래와 같은 합의문 형식으로 발표되었는데요.

크게보면 2가지 합의입니다.

우선 5,200만 달러(713억원)의 벌금이 부과 되었습니다.

다음은 개인정보 보호 체계에 대한 개선입니다.

​

벌금이야 그렇다고 치고 개인정보 보호 체계에는 어떤 내용이 담겼을까요?

​

①소비자 혼동 방지

소비자의 개인정보를 수집, 유지, 사용, 삭제 또는 공개하는 방법과 회사가 개인정보의 프라이버시, 보안, 가용성, 기밀성 또는 무결성을 보호하는 정도를 실제와 다르게 표현하는 것이 금지됩니다.

​

②데이터 최소화

메리어트는 개인정보를 수집 목적을 충족하는 데 합리적으로 필요한 기간 동안만 보관하는 정책을 구현해야 하고, 개인정보를 수집하는 목적과 이를 보관해야 하는 구체적인 사업적 필요성을 공유해야 합니다.

​

③포괄적 정보 보안 프로그램

메리어트와 스타우드는 포괄적 정보 보안 프로그램을 수립, 구현 및 유지하고 20년 동안 매년 FTC에 대한 준수를 인증해야 합니다.(어후 빡세네요.) 정보보안 프로그램에는 강력한 보호 장치가 포함되어야 하며 2년마다 독립적인 제3자 평가가 요구됩니다.

​

④로열티 리워드 프로그램 계정 검토

메리어트는 소비자가 Marriott Bonvoy 로열티 리워드 계정에서 승인되지 않은 활동을 검토하도록 요청할 수 있는 방법을 제공해야 하며 Marriott은 악의적인 행위자에 의해 도난당한 모든 로열티 포인트를 복구해야 합니다.

​

⑤데이터 삭제

메리어트는 고객이 이메일 주소 및/또는 로열티 보상 프로그램 계정 번호와 관련된 개인정보를 삭제하도록 요청할 수 있는 링크를 제공해야 합니다.

​

위 내용들을 보시면 이미 우리나라에는 어느 정도 다 적용되어 있는 것들인데요.

20년 동안 FTC의 관리감독을 받는 부분은 많이 놀랬습니다.

역시 문제가 생기기 전까지는 자율이지만 문제에 대해서는 엄청난 대응을하는 미국답다는 생각이 들었습니다.

​

이상입니다.

​