SNS 계정을 통해 바코드가 노출된 항공권 사진을 쉽게 찾아볼 수 있다 [사진 인스타그램]
여름 휴가철 맞아 해외여행 떠나시는 분들이 많으실 것 같습니다.
트위터나 인스타그램 같은 SNS 계정에 항공권 사진을 게시하면서 해외여행을 ‘인증’하시는 분들도 늘어나고 있는데요.
실제로 인스타그램에 항공권을 뜻하는 영단어 ‘boardingpass(보딩패스)’를 검색하면 7만여건에 달하는 항공권 사진이 검색됩니다.
그런데 정보보안 전문가들은 바코드를 가리지 않고 항공권을 SNS에 그대로 올릴 경우, 중요한 개인정보가 유출될 수 있다고 경고하고 있습니다.
미국 매체 CBS의 보도에 따르면, 전문지식이 없어도 누구나 간단한 핸드폰 앱을 통해 항공권에 담긴 개인정보를 확인할 수 있습니다.
실제로 CBS의 기자가 바코드 앱을 통해 공항을 이용하던 한 탑승객의 항공권 바코드를 스캔해 간단한 개인정보를 습득할 수 있었습니다.
이런 사태를 미연에 방지하기 위해 사우스웨스트 항공사 같은 일부 미국 항공사들은 항공권 바코드에 담긴 정보를 암호화하기도 하지만 그렇지 않은 항공사가 더 많습니다.
범죄수사 전문가 윈스턴 크론은 “항공권 정보를 이용해 그 사람의 항공계정을 해킹할 수도 있다”고 말했습니다. 크론은 “항공사의 간단한 보안질문에 응답한 후 자원자의 항공계정 비밀번호를 알아낼 수 있었다”고 설명했습니다.
항공사 계정을 해킹할 경우, 항공편을 바꾸거나 항공 마일리지를 훔칠 수도 있습니다.
뿐만 아니라 민감한 개인정보 등도 파악할 수 있습니다. 크론은 “집 주소, 핸드폰 번호, 이메일 주소 같은 개인정보도 확인할 수 있었다”라며 “이런 정보들을 활용해 은행계좌 같은 민감한 정보들을 빼내는 데 활용할 수 있다”고 말했습니다.
국제항공운송협회는 항공사 이용고객의 계정 관련 정보를 관리하는 정보보안 규정을 각 항공사의 자율에 맡기고 있습니다.
기자가 직접 바코드 앱을 통해 항공권 바코드를 스캔해봤다. 항공편명, 영문성명, 도착지 정보, 예약번호 등 기본적인 정보를 파악할 수 있었다.
그렇다면 한국의 경우는 어떨까요?
제가 직접 바코드 스캐너 앱을 활용해, SNS상에 올라온 항공권을 스캔해봤습니다.
항공권 예약자의 성명, 항공권 번호, 항공편명, 도착지, 도착 시간 같은 항공예약 관련 기본정보들을 파악할 수 있었습니다. 뿐만 아니라 ‘예약번호’라고 알려진 PNR(Passenger name Record, 승객 예약 정보)까지 알 수 있었습니다.
영문성명과 항공편명, PNR까지 알고 있으니, 누군가가 해당 항공사에 전화해 악의적으로 예약을 취소하는 건 일도 아닙니다.
항공업계에 따르면 항공사 이용객들이 항공권 예매시 기입한 정보는 PNR형태로 항공사 예약시스템에 저장되고 있습니다. PNR에는 주로 승객의 이름과 주소·연락처·결제정보 등 중요한 고객정보가 담겨 있습니다.
국내 개인정보보안업체의 한 관계자는 “항공권을 통해 취득한 개인정보를 타인이 악의적으로 이용할 위험성이 있다”면서 “SNS에 항공권 사진을 올릴 경우 바코드를 가리거나, 버릴 때에도 확실히 파지를 한 후 버리는 등 주의를 기울여야 한다”고 조언했습니다.
박범준 인턴기자 park.beomjune@joongang.co.kr
