아고다는 파트너 및 고객의 데이터 보안을 가장 중요하게 생각합니다. 당사는 숙소 파트너 및 고객의 신뢰 및 충성도를 소중하게 여기며 파트너 및 고객의 데이터 및 개인정보를 안전하게 보호하기 위해 최선을 다하고 있습니다. 이에 아고다는 업계 최고의 기술을 활용하여 잠재적으로 의심스러운 활동을 모니터링, 감지 및 차단합니다.
당사는 일부 숙소 파트너를 대상으로 타겟팅된 피싱 사기 이메일 및 멀웨어(악성 소프트웨어) 공격이 있었음을 확인하였습니다. 아고다 플랫폼에서는 보안 위반이 발생하지 않았으며 당사의 백엔드 시스템 및 인프라 또한 손상되지 않았으나 일부 숙소 파트너가 영향을 받았습니다. 사이버 공격이 점점 더 정교해지고 있으므로 몇 가지 간단한 모범 사례를 참조해 온라인 및 숙소 플랫폼을 대상으로 하는 사기 피해 위험을 줄이시기 바랍니다.
본 페이지에서는 ‘위협 행위자'(피싱 사기, 랜섬웨어 또는 멀웨어 공격을 통해 컴퓨터 시스템의 취약점을 악용하는 사람)의 사이버 공격으로부터 귀하의 숙소 및 고객을 보호할 수 있는 방법에 대해 안내합니다.
여행 산업 전반에 영향을 미치고 있는 최신 사기 수법들은 무엇인가요?
최신 사이버 공격으로는 스파이웨어를 설치해 숙소의 IT 인프라를 손상시키는 방법이 있습니다. 그런 다음 위협 행위자는 숙소의 로그인 정보를 도용해 다른 플랫폼에 접속하고 숙소를 가장하여 피싱 사기 링크를 전송해 고객을 속여 돈을 갈취합니다.
위협 행위자들은 사이버 공격을 어떻게 수행하고 있나요?
- 숙소가 위협 행위자의 가짜 예약을 접수합니다(직접 예약 또는 신뢰할 수 있는 파트너를 통해).
- 이러한 가짜 예약을 통해 위협 행위자는 숙소에 악성 링크가 포함된 메시지를 전송합니다.
- 숙소에서 해당 링크를 클릭하면 악성 코드가 숙소의 IT 시스템에 자동으로 다운로드됩니다. 해당 악성 코드는 스파이 소프트웨어로써, 숙소가 아고다 또는 기타 제3의 업체의 메시지 플랫폼 및 YCS 시스템 접속 시 이용하는 로그인 정보를 포함한 숙소의 로그인 정보를 훔치거나 기록할 수 있습니다.
- 위협 행위자는 도용한 로그인 정보를 사용하여 다른 제3의 업체(예: 아고다)의 메시지 플랫폼에 접속한 뒤 숙소를 가장하여 해당 숙소를 예약한 고객에게 연락합니다.
- 위협 행위자는 제3자의 메시지 플랫폼을 이용해 예약 고객에게 메시지를 전송하여 악성 링크를 클릭하고 결제 정보를 제공하도록 요청하며 악성 링크를 사용해 결제하지 않으면 예약을 취소하겠다고 위협하는 경우도 있습니다.
- 고객이 악성 링크를 클릭하면 아고다 또는 다른 제3의 업체의 웹사이트로 위장한 가짜 웹사이트로 연결됩니다.
고객이 이러한 악성 링크를 통해 결제 정보를 제공하면, 위협 행위자는 해당 정보에 접근하여 고객 몰래 사기 거래를 진행합니다.
- 그러나 숙소 측에서는 이러한 일이 발생하고 있다는 사실조차 인지하지 못할 가능성이 높습니다. 또한 이러한 거래는 아고다 플랫폼에서 이루어지지 않으므로 당사에서도 확인할 수 없습니다. 당사에서는 고객이 고객 지원팀에 연락하는 경우에만 이러한 일이 발생했음을 알 수 있습니다.
숙소 및 고객의 정보를 보호하려면 어떻게 해야 하나요?
- 숙소의 비즈니스를 보호하기 위해 이러한 사기 또는 사이버 범죄에 주의를 기울이고 직원 교육을 실시하세요.
- IT 시스템에 최신 바이러스 백신 소프트웨어를 도입 및 실행하세요.
- 컴퓨터 대신 휴대폰을 통한 YCS 다단계 인증(multi-factor authentication, MFA)을 사용하세요. 위협 행위자가 귀하의 컴퓨터를 조작할 수 있는 경우, 이메일의 받은 편지함으로 전송된 OTP(확인 비밀번호)를 검색할 수도 있습니다. 그러나 OTP가 귀하의 휴대폰으로 전송될 경우 위협 행위자는 해당 OTP를 확인할 수 없으므로 YCS 플랫폼에 대한 더 이상의 접근을 차단할 수 있습니다.
- 의심스러운 메시지 또는 이메일을 받은 경우 링크를 클릭하거나 첨부 파일을 다운로드하지 마세요. 최근의 피싱 사기 메시지에는 주로 다음과 같은 주제가 포함되어 있습니다.
- 숙소에서 발생한 알레르기에 대해 불평하는 고객
- 차별 혐의로 소송을 제기하겠다고 협박하는 고객
- 휠체어 사용자에 대한 차별을 주장하는 고객
고령자이므로 도움이 필요하다고 주장하며 숙소의 실제 위치를 찾는 데 도움을 구하는 고객 이는 진짜 고객의 메시지일 수도 있으나, 이와 같은 가짜 투숙객들은 자신의 상황을 설명한 후 숙소에게 Google Drive, Mega, Dot NZ, Dropbox 등의 유명 클라우드 제공업체를 통해 .zip 또는 .rar 파일을 다운로드하고 열도록 요청한다는 점에서 큰 차이가 있습니다.
- 귀하의 숙소에서 사기성 메시지를 받았다고 의심되는 경우 아고다 어카운트 매니저에게 직접 문의해 주시기 바랍니다.
이러한 사기/사이버 범죄를 당한 경우 어떻게 대응해야 하나요?
귀하의 아고다 계정 정보를 보호하기 위해 모든 관련 조치를 취하시기 바랍니다. 그러나 귀하의 계정이 이미 해킹된 경우라면 다음과 같은 조치를 취하시기 바랍니다.
- 아고다 어카운트 매니저를 통해 아고다에 해당 사실을 알려주세요.
- 이메일 비밀번호 및 아고다 계정 비밀번호를 모두 재설정하세요.
- 여러 계정에 동일한 비밀번호를 사용하지 마세요.
- 시스템에서 바이러스/악성 프로그램 검사를 시행하세요.
- 귀하의 계정에서 피싱 사기 및/또는 스팸 메시지가 전송되지 않는지 확인하세요.
귀하의 로그인 시도 및/또는 메시지 플랫폼 사용에 대해 비정상적인 패턴이 감지된 경우 아고다에서는 예방 조치로써 귀하의 비밀번호를 재설정하고 일시적으로 YCS 플랫폼에 대한 접속 권한을 비활성화합니다. 귀하의 확인을 받으면 당사에서 귀하의 접속 권한을 복원해 드리겠습니다.
가상 신용카드(VCC/UPC)가 도용된 것 같습니다. 어떻게 대처해야 하나요?
- ‘위협 행위자들은 사이버 공격을 어떻게 수행하고 있나요?‘ 페이지에서 확인하실 수 있듯이, 위협 행위자들이 숙소의 YCS 계정에 접속할 수 있게 되면 해당 계정의 가상 신용카드 정보를 탈취해 가짜 가맹점에서 결제를 할 수 있습니다.
- 이런 경우, 숙소에서 가상 신용카드를 결제하려고 했을 때 카드상에 잔액이 남아있지 않아 결제가 불가합니다.
- 가상 신용카드가 도용된 것을 알게 되는 즉시, ‘이러한 사기/사이버 범죄를 당한 경우 어떻게 대응해야 하나요?‘ 페이지에 안내된 단계를 따라 아고다 어카운트 매니저에게 연락해 주시기 바랍니다.
자주 묻는 질문(FAQ)
네, 고객에게 알려야 합니다.
관련 데이터 개인정보 보호법 및 아고다와의 계약상 의무(최신 정보 보호 부록 참조)에 따라, 개인식별정보(Personal Identifiable Information, PII) 사고(보안 사고가 귀하, 귀하의 소프트웨어, 비즈니스 파트너, 하청업체 또는 중개인의 개인식별정보 처리 및/또는 아고다 약관에 위배되는 아고다 시스템의 사용 또는 접속으로부터 비롯되거나 이와 관련되는 경우)에 대한 책임은 귀하에게 있습니다.
따라서 이러한 경우 숙소는 해당 개인정보 보호법에 따라 독립적인 정보 관리자로서의 의무를 이행해 주셔야 합니다.
아고다가 파트너의 UPC에 대해 무단 청구 사실을 발견하면 아고다는 지불 거절 절차를 시작해 해당 거래를 취소합니다. 아고다는 접수된 모든 지불 거절 요청과 관련하여 마스터카드의 규정에 따라 절차와 일정을 따라야 하며 당사가 시기를 임의로 조율할 수 없습니다. 지불 거절 요청이 접수되면 판매자(이 경우, 사이버 공격자)가 지불 거절에 이의를 제기하고 자체 증빙 서류를 제공할 수 있기 때문에 절차가 더욱 복잡해지고 지연될 가능성이 높아집니다. 첫 번째 단계에서 아고다가 승리하면 절차는 45일 이내에 종료됩니다. 하지만 첫 번째 단계에서 아고다가 패소하면 판매자가 제출한 증빙 서류에 따라 아고다는 마스터카드에 사전 중재를 신청할 수 있으며, 이 경우 결과가 나오는 데 최대 120일이 소요되는 두 번째 단계로 넘어가게 됩니다. 따라서 아고다는 파트너가 UPC에 따라 청구된 금액을 회수할 수 있도록 최선을 다하고 있지만 지불 거절 절차는 복잡하고 아고다가 임의로 결정할 수 없는 상황이 상당히 많습니다.
질문 2의 답변을 참조해 주시기 바랍니다.
파트너가 UPC에 청구된 금액을 받을 수 있도록 아고다는 최선을 다하지만 판매자(이 경우, 사이버 공격자)가 지불 거절에 대해 이의를 제기할 수 있습니다. 이로 인해 절차가 복잡해지고 지연될 수 있으며 더 나아가 결과를 보장할 수 없게 됩니다. 무단 청구를 포함하여 UPC 사용에 대한 책임은 전적으로 파트너에게 있으므로 안타깝지만 UPC에 대한 무단 청구와 관련된 손실 역시 파트너가 부담해야 합니다.
마스터카드 규정에 따라 아고다는 3D 보안 인증을 활성화한 판매자가 UPC에 대해 금액을 청구한 경우 지불 거절을 요청할 수 없습니다.
숙소 직원에 의해 부정 청구가 발생했을 가능성은 항상 존재합니다. 파트너의 UPC로 의심스러운 거래가 발생한 사실을 아고다가 파악하면 아고다는 거래 데이터를 조사하고 사기 가능성이 있는지 조사를 시작합니다. 숙소 직원 또는 외부 행위자에 의한 사기 가능성을 발견하면 아고다는 파트너에게 이 사실을 알립니다. 최근 아고다와 숙소가 적발한 모든 사례는 숙소 직원이 아닌 외부 행위자와 관련이 있었습니다. 하지만 내부 사기의 위험을 최소화하기 위해 늘 경각심을 가지고 제한된 특정 직원에게만 UPC 접근 권한을 부여하시기 바랍니다. YCS와 UPC를 안전하게 관리하는 방법에 대해서는 이 글을 참조해 주시기 바랍니다.
여행 업계를 대상으로 한 표적 피싱 이메일과 멀웨어 공격의 사용이 증가하고 있습니다. 아고다의 파트너 중 일부 역시 이 공격의 표적이 되고 있습니다. 이에 아고다는 지속적인 보안 모니터링 시스템을 통해 일부 파트너가 멀웨어로 로컬 컴퓨터 시스템을 탈취하려는 범죄 의도를 가진 사이버 공격자로부터 피싱 이메일을 받았다는 사실을 파악했습니다. 일부 경우, 이러한 ‘악의적 행위자’는 아고다의 파트너를 사칭해 이메일 또는 다른 소통 채널을 통해 투숙객과 소통할 수 있었습니다. 이러한 사이버 공격을 통해 공격자는 파트너의 YCS에 접근하여 UPC 청구를 진행했습니다.
질문 7의 답변을 참조해 주시기 바랍니다.
안타깝게도 파트너 측에서 발생하는 멀웨어와 피싱 사기를 아고다가 막을 방법은 없습니다. 하지만 아고다는 UPC와 YCS의 보안을 강화하는 방법을 모색 중이며 조만간 이에 관한 자세한 내용을 발표할 예정입니다. 그동안 온라인 보안에 대한 인식을 높이고 이 글에서 강조한 조치를 취하여 귀하와 귀하의 고객 정보를 보호하는 것을 권장합니다.
아고다는 파트너와 고객의 데이터 보안을 가장 중요하게 생각합니다. 무엇보다 청렴한 운영을 지향합니다. 아고다는 파트너와 고객과의 관계를 손상시키는 일은 어떤 것도 하지 않습니다.
YCS 계정에 로그인하는 데 사용하는 모든 컴퓨터에서 최신 멀웨어 및 바이러스 검사를 실행하는 것을 권장합니다. YCS 사용자가 두 명 이상인 경우, 사용자 중 한 명이 악성 링크를 클릭해 파트너의 YCS 자격 증명이 도난되었을 가능성도 있습니다.
아고다에 연락하기
도움이 필요하신 경우, YCS의 ‘도움이 필요하신가요?’ 버튼 또는 기타 방법을 통해 당사로 연락해 주시기 바랍니다.
본 게시글이 도움이 되셨나요?
%
%
소중한 의견에 감사드립니다.