카니발 코퍼레이션 대규모 개인정보 유출, 집단소송 3건 제기

ShinyHunters 해킹 그룹이 870만 건 탈취… 전 브랜드 영향 가능성

세계 최대 크루즈 기업 카니발 코퍼레이션(Carnival Corporation)이 사상 최대 규모의 개인정보 유출 사태에 직면했습니다. 사이버 범죄 그룹 ShinyHunters가 약 870만 건의 개인정보를 탈취한 것으로 파악되었으며, 이에 대해 집단소송 3건이 연이어 제기되었습니다.

사건 개요

• 해킹 시기: 2026년 4월 18일경 발생 추정
• 피해 규모: 약 870만 건의 개인정보 탈취
• 해킹 주체: ShinyHunters — 다크웹에서 대규모 데이터 도난·매매로 악명 높은 그룹
• 탈취 가능 데이터: 생년월일, 신용카드 번호, 여권 정보, 전화번호, 비밀번호, 멤버십 번호 등

집단소송 현황

2026년 4월 22~24일 사이 미국 플로리다 남부 연방법원에 3건의 집단소송이 제기되었습니다.

• 자카리 포틀(Zachary Pottle) (플로리다) — 4월 22일 최초 제기
• 애슐리 콜(Ashley Cole) (테네시)
• 이본ne 바스케즈(Yvonne Vasquez) (캘리포니아)

원고들은 카니발이 충분한 사이버 보안 조치를 갖추지 않았으며, 대형 여행·금융 기업을 겨냥한 사이버 공격 증가 추세를 예측하지 못했다고 주장합니다. 특히 개인정보가 암호화되지 않은 상태로 보관되었고, 이중 인증(2FA) 등 기본 보안 수단도 미비했다는 점이 핵심 쟁점입니다.

영향 범위

카니발 코퍼레이션 산하 모든 브랜드가 잠재적 영향권에 있습니다.

• 카니발 크루즈 라인(Carnival Cruise Line)
• 프린세스 크루즈(Princess Cruises)
• 할랜드 아메리카 라인(Holland America Line)
• 씨번(Seabourn)
• 커나드(Cunard)
• 코스타 크루즈(Costa Cruises)
• AIDA 크루즈

카니발 대응

카니발은 "단일 사용자 계정에 대한 비인가 활동을 감지한 즉시 차단 조치를 취했고, 법 집행 기관에 통보했다"고 밝혔습니다. 또한 "데이터 개인정보 보호는 카니발 코퍼레이션에 매우 중요하며, 글로벌 보안 전문가들과 긴밀히 협력 중"이라고 덧붙였습니다.

다만 피해 승객에 대한 개별 통지는 아직 완료되지 않은 것으로 파악되어, 소송 측의 비판을 받고 있습니다.

이전 유례

카니발은 2020년 8월에도 대규모 데이터 유출을 겪은 바 있습니다. 당시 약 18만 명의 승객·직원 정보가 유출되었고, 2022년 125만 달러(약 17억 원) 벌금과 보안 강화 명령을 받았습니다. 이번 사태는 피해 규모가 수십 배에 달해, 최종 합의금도 훨씬 커질 가능성이 있습니다.

한국 승객 안내

최근 카니발 계열 브랜드(프린세스, 할랜드 아메리카, 코스타 등)를 이용한 적이 있는 분이라면:

• 신용카드 내역을 정기적으로 확인하세요
• 비밀번호 변경을 권장합니다
• 카니발 공식 통지가 오면 무료 신용 모니터링 서비스를 반드시 신청하세요
• 의심스러운 이메일·전화는 피싱 시도일 수 있으니 주의하세요

크루즈링크에서는 카니발 코퍼레이션 사태와 관련하여 예약 고객님들께 개별 안내를 진행합니다. 문의 사항이 있으시면 언제든 연락 주세요.