GS25 홈페이지가 해킹 공격을 받아 가입자 9만여명의 개인정보가 유출됐다. 해킹 공격은 지난달 27일부터 지난 4일까지 이뤄졌다. 포인트 도용 등 추가 피해는 발생하지 않은 것으로 파악됐다.
GS25를 운영하는 GS리테일은 GS25 홈페이지에서 9만여명의 가입자 이름, 성별, 생년월일, 연락처, 주소, 아이디, 이메일 등 7개 항목에 대한 정보가 유출됐다고 6일 밝혔다. GS리테일은 해킹을 시도하는 IP를 차단하고 로그인할 수 없도록 잠금 처리했다. 개인정보가 표시된 페이지는 임시 폐쇄했다.
GS리테일은 해킹 공격에 대해 인지한 뒤 개인정보보호위원회(개보위)와 한국인터넷진흥원에 개인정보 유출을 신고했다. 개보위는 GS리테일 측이 기술적·관리적 조치를 적절히 했는지 등을 조사하고 이에 따라 주의 또는 과태료 등의 조처를 할 예정이다. GS리테일 관계자는 “개보위의 조사에 최선을 다해 협조하겠다”고 말했다.
이번 공격은 해외 IP 20여곳을 통해 이뤄졌다. 이번에 확인된 해킹 수법은 여러 경로를 통해 수집한 아이디와 비밀번호 등의 정보를 무작위로 넣어 홈페이지에서 로그인한 뒤 개인 정보를 빼내는 이른바 ‘크리덴셜 스터핑’(credential stuffing)이라고 GS리테일은 설명했다. 해킹한 주체는 파악되지 않았다.
해킹 공격으로 인한 개인정보 유출 사고는 끊이지 않고 있다. 모두투어는 고객 정보 유출 사실을 3개월 뒤에 고지하면서 비판을 받기도 했다. 악성코드 감염에 따른 정보 유출을 지난해 6월 인지하고도 3개월이 지난 9월에 공개했기 때문이다. 거센 비판을 받았고 모두투어 경영진은 책임 분담의 의미로 임금의 30%를 자진 삭감했다. 2017년에는 숙박 예약서비스 여기어때 가입자 99만명의 개인정보가 유출되는 사태로 전국이 떠들썩했다. 이후 이어진 민사소송에서 회사 측의 책임이 인정되면서 1인당 40만원을 배상하라는 판결을 받기도 했다.
이가현 기자 hyun@kmib.co.kr