카니발 크루즈, 약 600만 명 대상 데이터 유출 확인
Source: Bleeping Computer
개요
전 세계 최대 크루즈 라인 운영사인 Carnival Corporation은 약 600만 명에 달하는 사람들에게 영향을 미친 데이터 유출을 확인했습니다. 이번 유출은 2026년 4월에 ShinyHunters extortion(협박) 조직이 주장했습니다. Carnival은 160,000명 이상의 직원을 고용하고 있으며, 2024년에 90여 척 이상의 선박을 보유한 함대를 통해 약 1,350만 명의 고객에게 서비스를 제공했습니다. 이 회사는 Carnival Cruise Line, Costa, P&O Australia, P&O Cruises, Princess Cruises, Holland American Line, AIDA, Cunard, Seabourn 등 아홉 개의 주요 크루즈 브랜드와 여행 투어 회사(Holland America Princess Alaska Tours)를 운영하며, 지난해 매출이 260억 달러를 넘어섰다고 보고했습니다.
통지 세부 사항
회사는 수요일에 5,995,277명의 고객에게 4월 10일에 발생한 유출 사건으로 인해 데이터가 도난당했으며, 사회공학 공격을 통해 일부 IT 시스템에 접근했다는 사실을 알리기 시작했습니다.
“2026년 4월 14일, 회사의 IT 보안 팀은 직원 계정에서 무단 활동을 확인했습니다. 무단 행위자는 사회공학 기법을 사용해 직원을 속여 회사 IT 시스템의 제한된 부분에 접근했습니다.”라고 회사는 데이터 유출 통지 서한에서 밝혔습니다.
“회사는 신속히 무단 활동을 차단하고 즉시 제3자 보안 전문가와 협력해 보안을 강화하고 철저한 조사를 진행했습니다. 2026년 4월 22일, 회사는 최초로 악의적인 행위자가 불법적으로 개인 정보를 복사했음을 확인했습니다.”
ShinyHunters 주장
Carnival이 공식적으로 공격자를 지정하지는 않았지만, ShinyHunters 사이버 범죄 그룹이 책임을 주장하며 8백70만 건 이상의 개인 식별 정보와 수 테라바이트에 달하는 내부 기업 데이터를 포함한 문서를 탈취했다고 밝혔습니다.
Carnival이 ShinyHunters 유출 사이트에 등재된 모습 (BleepingComputer)
Carnival 관계자는 BleepingComputer의 코멘트 요청에 답변하지 않았습니다. 그러나 데이터 유출 알림 서비스 Have I Been Pwned는 유출된 데이터를 분석한 결과, 이번 유출을 통해 다음과 같은 정보가 노출되었다고 보고했습니다.
- 이름
- 생년월일
- 이메일 주소
- 성별
- 지리적 위치
- 로열티 프로그램 상세 정보 (Holland America가 운영하는 Mariner Society 로열티 프로그램)
“데이터에는 Mariner Society 로열티 프로그램과 관련된 필드가 포함돼 있었으며, 이름, 생년월일, 성별 및 로열티 프로그램 내 등급과 관련된 정보가 포함돼 있었습니다.”라고 Have I Been Pwned가 언급했습니다.
ShinyHunters 활동에 대한 배경
지난 1년 동안 ShinyHunters는 Salesforce 고객을 표적으로 삼았으며, Salesloft Drift 캠페인과 Salesforce Aura 데이터 절도 공격에서 수십억 건의 레코드를 탈취했다고 주장했습니다.
FBI는 최근 ShinyHunters의 피해자들에게 몸값을 지불하지 말 것을 권고했으며, 지불이 공격자가 추가 협박을 시도하거나 도난 데이터를 판매하지 않을 것을 보장하지 않는다고 경고했습니다.
이전 Carnival 유출 사건
Carnival Corporation은 다음과 같은 추가 데이터 유출을 공개했습니다.
- 2020년 3월 – 고객, 직원 및 승무원에게 영향을 미칠 수 있는 잠재적 유출.
- 2021년 6월 – 위협 행위자가 직원 이메일 계정에 접근해 개인 및 재무 정보를 유출.
- 2020년 8월 및 2020년 12월 – 고객 및 직원의 개인 정보를 탈취한 랜섬웨어 사건.
이러한 사건들은 BleepingComputer에 의해 보도되었으며, 공개 서류에 문서화되었습니다.