홈플러스 온라인몰 고객 4만9천 명의 개인정보가 1년에 걸쳐 유출됐던 것으로 드러났다.

홈플러스는 사건이 발생한지 2년이 되도록 이런 사실을 모르고 있다가 뒤늦게 이런 사실을 알아챘는데 그 뒤에도 고객들에게 이런 피해사실을 알리지 않았다는 지적이 나온다.
 

다만 홈플러스는 자체시스템이 해킹된 사건이 아니며 피해고객들에게 바로 피해사실을 알렸다고 반박했다.

26일 국회 과학기술정보방송통신위원회 소속 변재일 더불어민주당 의원이 방송통신위원회로부터 받은 자료에 따르면 미상의 특정인이 2017년 10월17일부터 2018년 10월1일까지 홈플러스 온라인몰에 4만9천 명의 계정으로 접속했다.

방송통신위원회는 이 사람이 홈플러스 고객의 아이디와 비밀번호를 해킹해 로그인을 시도한 것으로 보고 한국인터넷진흥원(KISA)과 함께 25일 현장조사를 시작했다. 이 사람은 홈플러스 OK캐시백 포인트를 빼돌리기 위해 부정접속한 것으로 밝혀졌다.

변 의원에 따르면 홈플러스는 20일 한 고객이 포인트가 제대로 적립되지 않았다는 민원을 제기한 뒤 뒤늦게 이런 사실을 알았으며 아직까지 고객들에게 개인정보 유출 및 포인트 탈취 사실을 알리지 않았다.

정보통신망법 제27조의3에 따르면 서비스 제공자는 개인정보의 유출 사실을 인지하면 지체 없이 모든 사항을 이용자에게 알리고 방통위 또는 한국인터넷진흥원에 해당 내용을 신고해야한다.

변 의원은 “홈플러스가 무려 2년 동안 사태를 알아채지 못한 것은 고객의 개인정보를 내팽개친 것이나 다름없다”며 “2011년 개인정보 장사로 곤욕을 치른 사실이 있음에도 불구하고 개인정보 유출과 재산상의 피해 사실을 고객들에게 6일 동안 은폐한 것 역시 무책임한 행태”라고 꼬집었다.

홈플러스는 이번 개인정보 유출이 홈플러스 시스템에서 이뤄진 것이 아니라고 해명했다.

홈플러스는 이날 해명자료를 내고 “미상의 특정인이 다른 사이트에서 불법으로 수집한 불특정 다수의 아이디와 비밀번호를 홈플러스 온라인쇼핑몰에 무작위로 입력해 무단 로그인을 시도한 것”이라며 “2008년부터 고객이 비밀번호를 입력하는 즉시 암호화해 데이터베이스에 저장하고 있기 때문에 홈플러스 시스템에서 비밀번호가 유출되는 것은 원천적으로 불가능하다”고 주장했다.
 

내부적으로 개인정보처리시스템의 안전성을 외부 보안전문업체와 재검토한 결과 홈플러스 시스템을 통한 고객정보 유출정황은 확인되지 않았다고 홈플러스는 설명했다.

홈플러스에 따르면 이번 사건의 피해자는 다른 사이트와 같은 아이디와 비밀번호를 사용하던 고객 4만9007명으로 OK캐시백 포인트 부정적립에 따른 전체 피해액은 400여만 원 규모다.

자체 시스템이 해킹된 것이 아니었기 때문에 사건이 일어난 사실을 뒤늦게 알아챌 수밖에 없었다고 홈플러스는 해명했다.

홈플러스는 “범죄자는 다른 사이트에서 훔친 아이디와 비밀번호로 홈플러스 온라인쇼핑몰에 정상 로그인을 했으며 홈플러스 온라인쇼핑몰에서는 가족과 지인 등 다른 사람의 OK캐쉬백 카드로도 포인트를 적립할 수 있기 때문에 고객의 민원이 최초 발생할 때까지 이를 비정상 행위로 알아채기 어려웠다”고 말했다.

홈플러스는 피해를 입은 고객에게 이런 사실을 알리지 않았다는 변 의원의 비판도 사실이 아니라고 선을 그었다.

홈플러스는 “한국인터넷진흥원에 사건을 신고한 당일인 20일 오후 6시부터 피해고객의 비밀번호를 초기화한 뒤 새 비밀번호를 사용하도록 이메일 및 문자메시지(LMS)로 개별 안내했다”고 해명했다. [비즈니스포스트 최석철 기자]