본문 바로가기
경제

보안 구멍 뚫린 GS리테일, 2021년 이어 또 개인정보 유출

by 이코리아 티스토리 2025. 2. 28.
728x90

출처=GS리테일 홈페이지 갈무리

[이코리아] GS리테일이 연이어 대규모 개인정보 유출 사고를 겪으며 보안 관리 부실 논란에 휩싸였다. 지난달 GS25 편의점에서 9만여 명의 고객 정보가 유출된 데 이어, 최근에는 GS리테일 홈쇼핑(GS샵)에서 158만 건에 달하는 개인정보 유출 정황이 확인됐다.

GS리테일은 지난 27일, 자사가 운영하는 홈쇼핑 웹사이트 GS샵에서 지난해 6월부터 올해 2월 13일까지 해킹 공격이 발생해 158만 건의 고객 개인정보가 유출됐다고 발표했다. 유출된 정보에는 △이름 △성별 △생년월일 △연락처 △주소 △아이디 △이메일 △기혼 여부 △결혼기념일 △개인통관고유부호 등 총 10개 항목이 포함됐다. 다만, 멤버십 포인트 및 결제 수단과 같은 금융 정보는 유출되지 않은 것으로 확인됐다.

GS리테일은 유출 정황을 확인한 즉시 해킹을 시도한 IP 및 공격 패턴을 차단하고, 홈쇼핑 웹사이트 계정의 로그인을 일시적으로 잠금 처리했다고 밝혔다.

올해 1월에 GS25 홈페이지에서 9만 명의 개인정보가 유출되는 사고가 발생했으며, 당시 GS리테일은 해킹 방식이 ‘크리덴셜 스터핑(Credential Stuffing)’이었다고 설명했다. 크리덴셜 스터핑이란, 해커가 다른 웹사이트에서 탈취한 아이디와 비밀번호를 자동 입력하여 계정에 무단 접속하는 방식이다. 이번 GS샵 해킹 공격 또한 동일한 방식으로 이루어진 것으로 보인다.

GS리테일 관계자는 28일 <이코리아>와 한 통화에서 “크리덴셜 스터핑은 외부에서 아이디나 패스워드를 입수해서 그걸 대입을 해서 하는 경우다. 즉, 저희 걸 해킹당했다기보다는 외부에 해킹당한 아이디/패스워드를 가지고 대입해서 들어온 것”이라며 “그래서 해당된 고객분들한테 안내문자를 보냈고 패스워드 변경을 요청했다. 또 추가적인 보안 조치를 즉각 시행했다”고 설명했다.

이어 “최고경영진이 참여하는 '정보보호 대책위원회'를 발족해서 이번 사고를 조기에 수습하고 이후 해당 조직을 상설 운영해 재발 방지에 최선을 다할 방침이다. 또 앞으로 관리적 조치에 만전을 기하겠다”고 말했다.

이번 사태는 GS리테일이 최근 몇 년간 지속적으로 개인정보 유출 사고를 겪고 있다는 점에서 더욱 논란이 되고 있다.

앞서 지난 2021년 11월 개인정보보호위원회(이하 개인정보위)는 GS리테일 등 7개 사업자가 개인정보 안전조치 의무를 다하지 않아 회원 개인정보를 유출한 사건에 대해 총 4,560만 원의 과태료 처분을 내렸는데, GS리테일은 당해 처분을 받은 사업자 중 가장 많은 1,120만 원의 과태료 처분을 받았다. 당시 GS리테일은 라이브커머스 과정에서 개인정보가 유출됐으며, SNS 이벤트 당첨자 2,000명의 이름 및 전화번호를 마스킹 처리 없이 공개해 논란이 됐다.

당시 개인정보위는 “7개 사업자 모두 안전조치 의무 위반으로 과징금 부과 대상에는 해당하지만, 사소한 실수로 개인정보가 유출됐으며 피해 또한 미미해 과징금을 부과하지 않기로 했다”고 설명한 바 있다.

개인정보위는 이번 개인정보 유출 건에 대한 조사를 진행 중이다. 개인정보위 관계자는 <이코리아>에게 “지난 달에 GS편의점 건이 있었고, 요번에 추가로 거기서 확인하다가 나온 내용이다. 과징금이나 과태료는 저희가 심의 의결을 거쳐서 결정되는 사안”이라면서 “특히나 (개인정보 유출된) 158만 건에 대해서는 이제 내용을 확인하기 시작하는 단계”라고 설명했다.

개인정보보호법에 따르면, 과징금 처분을 받은 기업이 3년 이내에 동일한 사유로 다시 법을 위반할 경우 과징금이 가중될 수 있다. 개인정보위 관계자는 “과징금 처분의 경우 기업에게는 상당한 경제적 부담이 될 수 있는 부분이다. 그렇기 때문에 이런 경우 굉장히 신중하게 접근한다. 다양한 외부의견을 수렴하고 확인한 사항도 재확인 하는데, 이는 저희의 판단미스로 인해 피해자가 생기면 안 되기 때문”이라고 강조했다.

GS리테일은 이번 사건을 계기로 보안 강화를 위한 대응책을 마련하겠다고 밝혔지만, 소비자들의 신뢰를 회복하기까지는 상당한 시간이 걸릴 것으로 보인다. 전문가들은 “크리덴셜 스터핑 공격은 한 번 유출된 정보가 다른 사이트에서 반복적으로 사용될 가능성이 높아, 기업이 적극적인 보안 조치를 취해야 한다”고 지적했다.

GS리테일의 연이은 개인정보 유출 사태가 과징금 부과 및 재발 방지 대책 강화로 이어질지 주목된다.

 

 

 

윤수은 기자

저작권자  이코리아 무단전재 및 재배포 금지

 

더 많은 기사는 '이코리아'(http://www.ekoreanews.co.kr/)

'경제' 카테고리의 다른 글

한한령 해제 신호탄? 중국관광객이 몰려온다...수혜 업종은  (0) 2025.02.28
"자장면 시키신 분" 철가방 가고 배달로봇 온다  (0) 2025.02.28
금값은 왜 자꾸 오를까? 2025년 전망 알아보기  (0) 2025.02.27
선진국은 AI인재 육성 가속화, 한국은 6년째 해외유출  (0) 2025.02.27
‘파두 사태’에도 계속된 뻥튀기 상장 논란, 사후 심사 감리 강화해야  (0) 2025.02.27

관련글

티스토리툴바