[단독] 부킹닷컴 해킹 논란, 공식계정 피싱 공격에 이용객 피해 '속출'

[아이뉴스24 이영웅 기자] 부킹닷컴 공식계정이 해킹으로 피싱공격에 활용되면서 피해가 급속도로 퍼지고 있는 것으로 확인됐다. 부킹닷컴 공식계정으로 호텔 예약을 잡은 이용객에게 '12시간 내 입금하지 않으면 예약이 취소된다'는 내용의 피싱 이메일에 대부분 속아 넘어간 것이다.

부킹닷컴 측은 파트너 호텔 측의 계정이 해킹됐다고 주장하지만 이용객들은 호텔에 제공하지 않은 정보까지 피싱공격에 사용됐다며 부킹닷컴이 해킹된 것이 아니냐는 의혹을 제기하고 있다. 부킹닷컴은 지난 2018년에 이어 또다시 피싱공격에 노출되면서 안일한 보안의식으로 피해를 키웠다는 지적이 나온다.

◇부킹닷컴 공식 어플에도 피싱 이메일 확인돼 피해 커

4일 아이뉴스24 취재를 종합하면 지난달 중순부터 최근까지 부킹닷컴을 통해 호텔을 예약한 이용자 이메일로 'noreply@booking.com'이라는 공식 메일로 결제수단에서 오류가 발생했다는 메일이 전송됐다. 이 메일 주소는 부킹닷컴 공식 메일주소이다.

메일에는 영어로 이용객이 실제로 예약한 호텔을 거론하며 예약해줘서 감사하다는 문구로 시작한다. 그러면서 "불행하게도 당신의 예약이 결제오류로 인해 취소될 가능성이 있다"며 "12시간 내 해당 URL에 접속해 결제수단을 재확인해야 한다"고 적혀 있다. 이 메시지는 부킹닷컴 공식 애플 메시지 창에서도 전송됐다.

하지만 이용객들은 △부킹닷컴 공식계정의 메일이 사용됐다는 점 △실제 예약한 호텔명 적시된 점 △부킹닷컴 공식 어플에서도 같은 메시지 확인이 가능하다는 점 등으로 피싱으로 의심하기 어려웠다.

이번 피싱 공격은 '한정판 마케팅(Limited marketing)'을 교묘하게 활용해 피해를 키웠다. 한정판 마케팅은 시간을 한정해 소비자의 합리적 판단을 방해하는 기법이다. '12시간 이내로 결제수단을 재입력하지 않으면 예약이 취소된다'는 문구에 속아 넘어간 것이다.

피싱 메일에 적시된 링크를 접속하면 예약내역과 결제금액, 이용자 정보 등이 그대로 적시돼 있다. 부킹닷컴은 뒤늦게 상황을 파악하고 이용객들에게 "일부 투숙객들이 부킹닷컴 애플을 통해 의심되는 결제링크를 받았다는데 이런 링크를 클릭하면 안된다"는 메일을 보냈다.

◇2018년에도 전세계적 피싱피해 일으켜…안일한 보안의식 피해 키워

여행자의 피해도 속출하고 있다. 여행 카페에는 '호텔 경비를 이중으로 납부하게 됐다', '카드를 모두 정지시켰다' 등의 피해 사례가 이어지고 있다. 반면 부킹닷컴 측은 파트너사의 계정이 해킹 당한 것으로 본사와 무관하다는 입장이다.

이번 피싱 공격으로 피해를 본 제보자는 "부킹닷컴 내 메신저를 직접 이용하고 공식계정으로 피싱을 벌이고 있는데도 아무런 조치를 취하지 않고 있다"며 "부킹닷컴은 메인 시스템 해킹이 아니라 호텔 계정의 해킹이라며 모르는 링크를 클릭하지 말라고만 하고 있다"고 비판했다.

문제는 부킹닷컴의 보안사고가 이번이 처음이 아니라는 점이다. 더선(The Sun), 인디펜던트(Independent) 등 외신에 따르면 지난 2018년 부킹닷컴 이용객에게 이미 예약한 호텔 등에 선입금해야 예약이 완료된다는 피싱 메시지가 발송돼 전세계적으로 피해가 발생했다.

부킹닷컴의 느슨한 대응도 비판을 받고 있다. 2018년 당시에도 파트너사 호텔의 해킹으로 인한 것이라며 사태를 수습하기에 급급했다. 하지만 이용객들은 본사의 공식계정이 사용됐다는 점 등을 고려할 때 본사의 보안 시스템이 뚫렸다고 주장하고 있다.

결국 2018년 당시 근본적인 사태해결이 이뤄지지 않으면서 또다시 피싱의 피해가 속출하고 있다는 비판이 나온다. 전문가들은 모르는 링크를 절대로 클릭하지 말고 부킹닷컴의 자동결제 시스템 등을 재점검해야 한다고 지적한다.

이에 대해 부킹닷컴 측 관계자는 "피싱 피해에 대해 들어본 적이 없다"며 "본사 측에 문의 후 답변하겠다"고 말했다.