여행사 사기 범죄 증가, 2026년 업계 경고와 여행자가 알아야 할 핵심 체크포인트
IATA 이미지
여행업계를 겨냥한 사기 범죄가 더 정교해지고 있습니다. 최근에는 여행사의 IATA 번호, 이메일 도메인, GDS·NDC 접근 권한까지 악용하는 사례가 보고되면서, 업계뿐 아니라 실제 예약자도 주의가 필요한 상황입니다.
⚠️ 핵심 요약
- 2026년 3월 WTAAA는 여행사 IATA 인증번호를 도용해 항공사 NDC 접근 권한을 얻는 글로벌 사기 수법을 경고했습니다.
- ASTA는 2026년 2월 캐나다발 유사 사례를 공유하며, 단발성 사건이 아니라 조직적 공모 가능성을 시사했습니다.
- ARC도 최근 몇 달간 여행사 사칭, GDS 피싱, 가짜 도메인 접속 유도 등 사회공학 기반 사기 증가를 반복 경고했습니다.
- 이 문제는 여행업계 내부 이슈에 그치지 않고, 정상 예약 취소, 결제 분쟁, 발권 무효 같은 여행자 피해로 이어질 수 있습니다.
📰 이번 경고는 왜 중요할까?
이번 이슈가 주목받는 이유는 사기범들이 단순히 도난 카드만 사용하는 수준을 넘어, 정상 여행사의 신뢰 체계를 그대로 악용하고 있기 때문입니다. WTAAA에 따르면 범죄자들은 실제 여행사의 IATA 인증번호를 확보한 뒤, 해당 업체와 매우 비슷한 이메일 도메인을 만들어 항공사나 유통 파트너에게 NDC 온보딩 또는 에이전트 포털 접근을 요청했습니다.
문제는 이 과정에서 IATA 번호 확인만으로 접근 권한이 부여되는 허점이 일부 드러났다는 점입니다. 이후 사기범은 도난 신용카드로 항공권을 대량 발권하고, 정작 실제 여행사는 차지백이 들어온 뒤에야 피해를 인지하는 구조입니다. WTAAA는 2026년 3월 2일 발표에서 한 사례의 피해 규모가 35만 달러 이상이었다고 밝혔습니다.
🔍 2026년 여행사 대상 사기 수법, 크게 5가지
- 결제 사기 도난당한 신용카드로 막판 고가 항공권이나 긴급 예약을 처리한 뒤, 나중에 결제 취소나 차지백이 발생하는 방식입니다.
- 사칭 사기 범죄자가 여행사 직원, 공급업체, 기업 고객, 혹은 실제 예약자인 척 접근해 결제나 계정 정보를 빼내는 방식입니다.
- 비즈니스 프로세스 악용 IATA 번호, NDC 등록, 항공사 포털 승인 절차처럼 업계 내부 검증 프로세스를 역이용해 합법적인 발권 권한을 얻으려는 수법입니다.
- 자격증명 도용 피싱 메일, 가짜 로그인 페이지, 악성 링크 등을 통해 GDS나 사내 시스템 계정을 탈취하는 방식입니다.
- 비즈니스 이메일 침해 가짜 청구서, 송금 계좌 변경 안내, 결제 승인 요청 위조 등을 통해 자금을 빼돌리는 전형적인 BEC 수법입니다.
🏢 WTAAA, ASTA, ARC가 공통으로 강조한 내용
- WTAAA: 여행사는 즉시 활성 NDC 등록 상태와 항공사 포털 연결 내역을 재점검해야 합니다.
- ASTA: 캐나다에서 벌어진 사례는 미국이나 다른 시장에서도 재현될 수 있어, 사칭 이메일과 비인가 NDC 요청을 특히 경계해야 합니다.
- ARC: GDS 제공업체나 ARC를 사칭하는 피싱 도메인이 계속 발견되고 있으며, 이메일 링크를 통한 로그인은 절대 피해야 한다고 강조합니다.
세 기관의 메시지는 결국 같습니다. “정상처럼 보이는 요청이라도 반드시 한 번 더 검증하라”는 것입니다. 이메일 주소가 비슷하다고 해서, 로고가 같다고 해서, 혹은 실제 업체 정보를 일부 알고 있다고 해서 안전한 것은 아닙니다.
💼 업계 내부에서는 어떤 피해가 발생하나?
기사에 따르면, ARC 관할 시장에서는 최근 6개월에서 1년 사이 사칭형 계정 개설 사기가 많이 발생했습니다. 범죄자는 실제 회사 직원인 것처럼 가장해 법인 계정을 만들고 항공권을 구매합니다. 또 다른 유형은 피싱과 사회공학 수법으로 여행사의 GDS 접근 정보를 빼낸 뒤, 당일 또는 다음 날 출발하는 항공권을 빠르게 발권하는 방식입니다.
Travel Weekly의 법률 칼럼니스트 마크 페스트론크는 특히 독립 계약자(IC) 관련 내부 사기 리스크도 자주 본다고 설명했습니다. 신용카드 검증 없이 항공권을 발권한 뒤, 카드사 차지백이 들어오기 전까지 반복 발권하고 잠적하는 시나리오가 대표적입니다.
👀 여행자도 왜 알아야 할까?
겉으로는 여행사 대상 범죄 같지만, 실제 피해는 소비자 예약에도 영향을 미칩니다. 정상적으로 발권된 줄 알았던 항공권이 뒤늦게 취소되거나, 결제는 완료됐지만 예약이 유효하지 않은 상태가 될 수 있기 때문입니다. 특히 사기범이 정상 여행사의 이름과 브랜드를 도용한 경우, 여행자는 끝까지 실제 사기인지 알아차리기 어렵습니다.
🚨 이런 상황이면 한 번 더 확인하세요
- 시세보다 지나치게 저렴한 항공권이나 패키지를 급하게 결제하라고 할 때
- 공식 홈페이지가 아닌 메신저, 개인 이메일, 낯선 링크로 결제를 유도할 때
- 사업자 정보는 맞는데 이메일 주소나 사이트 도메인이 미묘하게 다른 경우
- 발권 내역, 환불 규정, 예약 확인서를 문서로 제공하지 않는 경우
✅ 안전한 예약을 위한 실전 체크리스트
- 공식 채널로 직접 접속하세요. 메일 링크보다 직접 주소 입력이나 즐겨찾기 접속이 안전합니다.
- 사업자 정보와 도메인을 함께 확인하세요. 회사명만 같다고 믿지 말고 URL과 대표 연락처를 교차 확인해야 합니다.
- 카드 결제 후 실제 발권 여부를 확인하세요. 결제 승인과 예약 확정은 다를 수 있습니다.
- 너무 급한 결제 유도는 경계하세요. 사기에서는 시간 압박이 자주 사용됩니다.
- 환불 및 변경 규정을 문서로 받으세요. 분쟁 시 가장 중요한 근거가 됩니다.
- 가능하면 항공사 예약번호(PNR)로 재확인하세요. 실제 예약이 살아 있는지 직접 확인하는 것이 가장 확실합니다.
📌 여행업계가 지금 당장 점검해야 할 대응책
- 활성 NDC 등록, 항공사 포털 연결, BSP·ARC 발권 내역을 수시로 점검하기
- 신규 거래처나 법인 계정 요청 시 전화 재확인 등 오프라인 검증 절차 추가하기
- 직원 대상 피싱·사칭 대응 교육을 정기적으로 실시하기
- 의심 도메인, 유사 이메일, 비정상 발권 패턴을 발견하면 즉시 항공사·GDS·IATA·협회에 보고하기
- MFA 적용, 강력한 비밀번호 사용, 필요 없는 발권 권한 차단 등 기본 보안 수칙 강화하기
결국 가장 중요한 것은 경계심과 검증 습관입니다. 기술이 발전할수록 사기 수법도 함께 정교해지기 때문에, 신뢰만으로 업무를 처리하던 방식은 더 이상 안전하지 않습니다.
❓ 자주 묻는 질문
Q. 유명 여행사 이름이 보이면 안전한가요?
아닙니다. 최근 사기는 유명 업체의 이름, 로고, 유사 도메인을 그대로 흉내 내는 방식이 많아졌습니다. 이름보다 공식 채널 확인이 더 중요합니다.
Q. 카드 결제면 무조건 보호받을 수 있나요?
일반 송금보다 안전한 편이지만, 예약 자체가 가짜이거나 비정상 발권이면 이후 취소나 분쟁이 발생할 수 있습니다. 결제 후에도 예약번호와 발권 상태를 꼭 재확인해야 합니다.
Q. 여행사가 가장 먼저 해야 할 일은 무엇인가요?
현재 연결된 NDC 및 에이전트 포털 상태를 점검하고, 익숙하지 않은 발권 내역과 유사 도메인 사용 흔적이 없는지 즉시 확인하는 것이 우선입니다.
마무리
2026년 여행사 사기 범죄 증가는 업계 내부의 보안 이슈를 넘어, 실제 여행자의 예약 안전과도 직결되는 문제입니다. 특히 IATA 번호 도용, NDC 접근 악용, GDS 피싱, 사칭 이메일은 이제 특정 시장만의 문제가 아닙니다. 여행사라면 검증 절차를 강화해야 하고, 여행자라면 예약 단계에서 공식 채널 여부를 한 번 더 확인해야 합니다. 안전한 여행은 출발지가 아니라 예약 단계의 확인에서 시작됩니다.
