고급 숙소 호텔 카드키가 더 위험한 해킹 사례 5건

고급 숙소 호텔 카드키가 더 위험한 해킹 사례 5건

대부분의 여행자는 ‘호텔 카드키’가 단순히 방을 여닫는 열쇠라고 생각한다. 하지만 최근 몇 년 사이, 이 단순한 장치가 해커들의 표적으로 바뀌었다. 특히 디지털화된 카드키 시스템은 ‘스마트 보안’이라는 이름 아래, 실제로는 데이터 접근의 관문이 되고 있다. 호텔 체인들은 기술이 편리하다고 믿지만, 그 안에 숨은 맹점은 대부분의 투숙객이 인식하지 못한다. 이번 글에서는 ‘호텔 카드키 해킹’이 단순한 이슈가 아닌 이유와, 실제로 발생한 최신 5가지 보안 사고를 구체적으로 분석한다.

1. 네트워크를 통한 카드키 복제 스웨덴의 사례

2019년 스웨덴의 한 중형 호텔 체인에서, 고객 800여 명의 카드키 데이터가 해킹되었다. 해커는 카드키 프로그램 업데이트 서버를 노려 공격했다. 이 공격의 핵심은 호텔 내부망이 아니라, 업데이트용 외부망이었다는 점이다. 즉, 보안 점검을 통과한 시스템조차도 공급망 해킹(supply chain attack)에 취약했다는 것이다.
당시 고객의 키 데이터는 암호화되어 있었지만, 암호화 알고리즘이 너무 오래된 AES-128 버전이어서 복호화가 가능했다. 해커는 복제한 카드키로 객실에 침입했고, 내부 CCTV 기록은 ‘합법적 접근’으로 인식했다.
이 사건이 주는 메시지는 분명하다. 최신 보안 시스템이라도 업데이트 서버의 무결성 검증 절차가 없다면 언제든 뚫릴 수 있다.

2. RFID 스푸핑보다 무서운 ‘리더기 역공격’

많은 사람이 카드키 복제를 떠올리면 RFID 신호를 복제하는 걸 생각하지만, 더 교묘한 방식이 존재한다. 바로 리더기 역공격(reader attack)이다.
2021년 홍콩의 한 5성급 호텔에서는, 해커가 객실 문에 장착된 리더기 자체를 감염시켰다. 이들은 호텔 하우스키퍼로 위장해 ‘점검용 펌웨어’를 설치했고, 이 과정에서 리더기 내부의 관리자 코드를 탈취했다. 이후 수십 개 객실의 접근 로그가 조작되었으며, 일부 투숙객의 신용카드 결제 내역도 동시에 노출됐다.
이 공격은 호텔 보안팀조차 인지하지 못했다. 왜냐하면 모든 접근이 ‘시스템 내부 사용자’로 기록되었기 때문이다.
이건 단순한 카드키 해킹이 아니라, 리더기 자체가 해킹된 사례다. 즉, 하드웨어와 네트워크가 모두 침입 경로가 될 수 있음을 의미한다.

3. 클라우드 기반 카드키의 ‘세션 하이재킹’

전 세계 고급 호텔들은 이제 ‘모바일 키’를 도입하고 있다. 스마트폰 앱으로 객실 문을 열 수 있고, 별도의 키 발급이 필요 없다. 하지만 그 편리함 뒤에는 심각한 위험이 있다.
2023년 뉴욕의 한 글로벌 체인 호텔에서, 고객의 스마트폰과 클라우드 서버 간 통신이 해킹당했다. 해커는 세션 하이재킹(session hijacking)을 통해 인증 토큰을 탈취했고, 이를 이용해 동일한 객실의 문을 열었다.
더 놀라운 건, 이 공격이 호텔 서버가 아니라 ‘공항 와이파이’를 통해 이루어졌다는 점이다. 고객이 공항 대기 중 앱을 실행했을 때, 가짜 SSL 인증서를 심은 와이파이 네트워크가 로그인 세션을 가로챘다.
결국 이 사건 이후, 해당 호텔 체인은 모바일 키 기능을 일시적으로 중단했다. 전문가들은 “모바일 인증 기반 카드키는 고객 편의성을 높이지만, 여행 중 공용 네트워크 환경에서는 절대 안전하지 않다”고 분석했다.

4. 카드키로 침입이 아닌 ‘위치 추적’까지 서울의 사례

많은 사람은 카드키 해킹이 단순히 ‘방문 열기’ 수준이라고 생각한다. 하지만 최근에는 카드키 시스템이 위치 추적 장치로 악용되기도 한다.
2022년 서울의 한 고급 호텔에서는, 카드키 리더기가 실시간으로 고객의 ‘출입 시점’을 기록하고, 이 데이터가 외부로 유출되는 사고가 있었다. 해커는 단순히 문을 열려는 게 아니라, 투숙객이 객실에 없는 시간을 파악했다.
이 데이터를 기반으로, 외부인이 객실을 털어도 CCTV상 ‘정상 출입’으로 인식되는 구조였다.
결국 호텔은 내부 보안관제팀이 아니라, 투숙객의 신고로 이 사실을 알게 되었다. 카드키 시스템이 단순한 ‘열쇠’가 아니라 행동 데이터의 수집 장치가 되어버린 셈이다.

진짜 꿀팁: 카드키 리더기 근처에 비정상적인 깜박임(적색 LED)이 2초 이상 지속된다면, 리더기 내부 로그가 외부로 전송되고 있을 가능성이 있다. 이때는 즉시 프런트에 교체를 요청해야 한다.

5. OTA(온라인 여행사) 연동형 시스템의 허점

호텔 예약의 80% 이상이 OTA 플랫폼을 통해 이뤄진다. 그런데 OTA와 호텔 PMS(Property Management System)가 연동될 때, 카드키 발급 과정도 자동화되는 경우가 많다.
2024년 두바이의 한 럭셔리 호텔에서는 OTA 서버 해킹을 통해 고객 예약 정보가 조작되었다. 해커는 OTA 계정에서 ‘체크인 완료’ 상태로 변경하고, PMS가 자동 발급한 카드키 번호를 이용해 객실 문을 열었다. 호텔은 시스템상 ‘예약자 본인’으로 인식했기 때문에, 아무 경고도 발생하지 않았다.
이건 기존의 ‘호텔 내부 보안’이 아닌, 외부 예약 채널에서 시작된 카드키 해킹이었다는 점에서 충격적이었다.

카드키 해킹을 막는 실제 루틴

1. 체크인 시, 카드키 발급기를 직접 눈으로 확인하라. 리더기나 발급기가 외부 기기와 연결되어 있다면 위험 신호다.
2. RFID 차단 케이스 사용. 단순한 금속 지갑 하나로 무선 복제 공격을 방어할 수 있다.
3. 모바일 키는 공용 와이파이에서 로그인 금지. 가능하면 호텔 LTE 혹은 개인 데이터로만 접속해야 한다.
4. 체크아웃 전 카드키 반납 후 폐기 여부 확인. 일부 호텔은 카드키를 재사용한다. 이때 로그 초기화가 되지 않으면 다음 사용자가 이전 고객 정보를 복원할 수 있다.
5. 호텔 보안 담당자에게 로그 기록 요청. 고급 호텔일수록 접근 로그를 보관한다. 요청만으로도 나의 키 접근 기록을 확인할 수 있다.

카드키는 단순한 열쇠가 아니라, ‘디지털 신분증’이다

지금까지의 사례에서 알 수 있듯, 카드키 해킹은 단순한 물리적 침입이 아니라 디지털 신분 탈취에 가깝다. 카드키에는 객실 번호, 체크인 시간, 고객 ID, 심지어 결제 기록까지 일부 저장되어 있다.
보안 전문가들은 “호텔 보안은 시설의 문제가 아니라, 투숙객의 인식에서 시작된다”고 말한다. 당신이 사용하는 카드키 한 장이, 사실상 당신의 여권과 결제카드를 합쳐 놓은 수준의 정보 가치를 지닌 셈이다.
따라서 여행자는 이제 ‘카드키를 잃어버리지 말자’가 아니라, ‘카드키를 신뢰하지 말자’로 사고를 전환해야 한다.

여행의 목적이 ‘휴식’이라면, 보안의 목적은 ‘평온’이다. 스마트한 여행자라면 이제 단순히 호텔을 고를 때 위치나 인테리어뿐 아니라, 보안 시스템의 세대와 인증 이력까지 확인할 것이다. 그 습관 하나가, 여행 중 가장 값비싼 사고를 막는 진짜 보험이 된다.
그리고 이 사실을 아는 순간, 당신은 더 이상 평범한 투숙객이 아니다. 보안을 알고 움직이는 여행자, 그것이 진짜 프로다.