[아시아타임즈=김태훈 기자] 여행숙박 플랫폼 야놀자가 인수한 포인트적립서비스 도도포인트 고객정보가 유출됐다는 주장이 나왔다. 

6일(현지시간) 정보통신기술(IT) 전문매체 테크퍼블릭에 따르면 웹사이트 전문매체 웹사이트플래닛 보안팀은 최근 도도포인트 고객정보가 유출돼 최소 100만 명에 이르는 고객 PPI(개인식별정보)와 유통 관련 데이터가 영향을 받았다고 전했다. 

인증 프로토콜과 데이터 암호화가 적용되지 않은 탓이다. 

도도포인트가 사용한 데이터 스토리지는 미국 전자상거래업체 아마존이 제공하는 아마존 AWS S3 버킷으로 유출된 파일 수는 약 7만3000개, 데이터 크기만 38기가바이트(GB)가 넘는다. 

웹사이트플래닛은 지난 3월 28일 이러한 사실을 발견했고, 도도포인트 전 소유주인 스포카에 연락했다. 야놀자는 올해 1월 도도포인트를 인수했다. 

그러나 대답을 받지 못해 4월 5일 다시 한 번 연락을 시도했지만 아무런 입장을 받을 수 없었다. 4월 15일 한국 컴퓨터침해사고대응반(CERT)에도 연락했지만 응답은 없었다. 

여기서 그치지 않고 4월 26일과 5월 4일 스포카에 다시 연락을 보내고, 5월 8일에는 도도포인트를 새로 인수한 야놀자에도 연락했다. 

마침내 5월 9일 야놀자로부터 응답을 받을 수 있었고, 5월 11일 도도포인트 버킷이 안전상태(secured)를 되찾았다. 

웹사이트플래닛은 이번 데이터 유출로 인해 이름, 성별, 전화번호, 생년월일, 방문한 매장, 최근 적립일 등 고객정보가 유출됐다고 설명했다. 

또한 매장 평균 매출, 신규 고객 수, 고객 당 평균 매출, 전월대비 성과 등 사업 상 민감한 데이터가 유출됐다. 결제 관련 정보도 유출된 것으로 나타났다. 

파일은 지난 2012년 4월 6일부터 2022년 5월까지 수집됐다. 

보안팀은 독자들이 데이터를 안전히 보호할 수 있도록 이러한 사실을 공개했다고 전했다. 기업들이 고객정보 유출 사실을 알면서도 좀처럼 공개하지 않기 때문이다.