인더뉴스 주동일 기자 | 홈플러스 고객 정보가 유출됐다는 변재일 더불어 민주당 의원의 자료에 대해 홈플러스 측은 “고객정보 유출은 사실이 아니다” 라고 해명했다. 또 “사실 확인 직후 KISA (한국 인터넷 진흥원) 에 신고하고 고객에게 안내했다”고 했다.
지난 20일 홈플러스 온라인 몰에 한 해커가 4만 9000 명의 아이디로 로그인한 사실이 드러나면서 이같은 논박이 오가고 있다. 해당 해커는 제3의 사이트에서 계정 정보를 얻어 홈플러스에 로그인한 뒤, 각 계정의 OK캐쉬백 포인트 적립 번호 란에 자신의 연락처를 남겨 포인트를 탈취했다.
이에 업계 관계자는 추가 피해를 우려했다. 그는 “한 소비자가 여러 사이트에서 같은 아이디와 비밀번호를 쓰는 것을 악용한 것으로 타 사이트에 똑같은 방법을 적용했을 경우 추가 피해가 있을 수 있다”고 말했다.
◇ 변재일 의원 “홈플러스 정보 유출” 주장
과학기술정보방송통신위원회 소속 변재일 더불어민주당 의원은 한 해커가 홈플러스 온라인몰에 타인의 계정으로 로그인한 사실이 드러났다고 26일 밝혔다. 변 의원 측은 약 4만 9000건의 개인정보가 유출됐다고 발표했다.
변 의원에 따르면 타인 계정 로그인이 2017년 10월 17일 처음 시작해 2018년 10월 1일까지 이어졌다. 또 변 의원은 홈플러스가 지난 20일 사실을 인지하고 방통위에 이를 알렸지만 고객들에겐 이같은 내용을 전하지 않았다고 주장했다.
이를 두고 변재일 의원은 “홈플러스가 개인정보 유출을 인지한 지 6일이 지나도록 고객에게 피해사실을 알리지 않고 있는 것은 3000만원 이하의 과태료를 부과할 수 있다”며 “현행법 위반 사안”이라고 지적했다.
이어 “홈플러스가 무려 2년 동안 고객 4만 9000명의 개인정보 유출 사실을 인지하지 못한 것은 고객의 개인정보를 내팽개친 것이나 다름없다”며 “개인정보 유출과 재산상의 피해 사실을 고객들에게 6일 동안 은폐한 것 역시 무책임한 행태”라고 덧붙였다.
◇ 홈플러스 “고객정보 유출 사실 아니야…피해 사실 당일 전달”
이에 홈플러스는 홈플러스의 고객정보가 유출된 것이 아니고, 이를 은폐한 적도 없다고 해명했다. “미상의 특정인(범죄자)이 다른 사이트에서 불법으로 수집한 불특정 다수의 아이디와 패스워드를 홈플러스 온라인쇼핑몰에서 무작위로 입력해 무단 로그인을 시도했다”는 것이다.
홈플러스는 “이 중 성공한 계정(다른 사이트와 동일 아이디 및 패스워드 이용 고객)에 범죄자 본인의 OK캐쉬백 카드번호를 입력해 타인이 쇼핑한 내역을 자신의 OK캐쉬백 포인트로 절취한 건”이라고 설명했다. 즉 홈플러스의 고객정보 데이터베이스는 유출되지 않았다는 것이다.
이어 고객에게 이 같은 사실을 당일 전달했다고 했다. “사건 인지 직후 가능한 신속히 사태를 파악하고, 한국인터넷진흥원(KISA)에 신고·방송통신위원회 조사 협조를 진행 중”이라며 “피해고객에게는 KISA 신고 당일인 지난 20일 오후 6시부터 패스워드를 즉시 초기화한 후 새로운 비밀번호를 사용하도록 이메일 및 문자메시지(LMS)로 개별 안내했다”고 강조했다.
홈플러스는 2008년부터 고객의 비밀번호를 입력하는 즉시 일방향 암호화해 데이터베이스에 저장하는 시스템을 갖추고 있다. 이 때문에 홈플러스는 “비밀번호가 유출되는 것은 원천적으로 불가능하다”며 “이 때문에 당사의 고객정보가 해커에게 직접 유출되지는 않았다”고 했다.
또 “무단 로그인이 시도된 고객분들께서도 패스워드를 변경하면 추가 피해는 발생하지 않는다”며 “사고 직후, 부정 적립에 사용된 OK캐쉬백 카드 등록을 삭제하고 해당 카드의 적립·사용이 불가하도록 조치했다”고 덧붙였다.
◇ 업계 관계자 “추가 피해 없는지 조사해봐야”
홈플러스에 따르면 이번 사건의 피해자는 4만 9007명이다. OK캐쉬백 포인트 부정적립에 대한 전체 피해액은 총 400여만원 수준이다. 방통위는 KISA와 함께 25일부터 이번 사건을 현장 조사 중이다.
이번 사건을 두고 유통업계 관계자는 “추가 피해가 없는지 빠른 조사가 필요하다”며 우려를 표했다. 소비자들이 같은 아이디와 비밀번호로 여러 사이트에 가입하는 것을 악용한 사건인 만큼, 홈플러스가 아닌 다른 사이트에서도 충분히 악용했을 가능성이 높다는 것이다.
그는 “해당 해커는 제3의 사이트를 해킹해 아이디와 비밀번호를 알아낸 뒤 홈플러스에 로그인했다”며 “한 소비자가 여러 사이트에서 같은 아이디와 비밀번호를 쓰는 것을 악용한 것으로 타 사이트에 똑같은 방법을 적용했을 경우 추가 피해가 있을 수 있다”고 말했다.
아이디와 비밀번호를 알고 로그인하는 만큼 보안 시스템에서 정상 로그인으로 인식되는 것 역시 문제다. 이번 피해 역시 “OK캐쉬백이 적립되지 않는다”는 한 홈플러스 고객의 문의를 계기로 파악됐다. 그전까지는 보안 시스템상 큰 문제가 없는 것으로 인식된 셈이다.
홈플러스 측 역시 “범죄자는 타 사이트에서 도용한 아이디와 비밀번호로 홈플러스 온라인쇼핑몰에 정상 로그인을 했고, 홈플러스 온라인쇼핑몰에서는 가족과 지인 등 타인의 OK캐쉬백 카드로도 적립할 수 있었다”며 “때문에 당사는 고객의 민원이 최초 발생할 때까지 이를 비정상 행위로 인지하기 어려웠다”고 설명했다.
