[일요시사 취재2팀] 박정원 기자 = GS리테일의 홈쇼핑 업체 GS샵에서 158만건의 고객의 개인정보가 유출됐다.
27일 GS리테일에 따르면, GS샵은 지난해 6월21일부터 이달 13일까지 웹사이트 해킹 공격으로 고객 개인정보가 유출된 정황을 확인했다.
GS리테일은 앞서 지난 1월에도 편의점 GS25 홈페이지가 해킹 공격을 받아 고객 9만명의 개인정보가 유출된 정황을 인지한 바 있다.
홈쇼핑 웹사이트를 통해 유출된 것으로 추정되는 개인정보는 ▲이름 ▲성별 ▲생년월일 ▲연락처 ▲주소 ▲아이디 ▲이메일 ▲기혼 여부 ▲결혼기념일 ▲개인통관고유부호 등 총 10개 항목이다. 다만, 멤버십 포인트와 결제수단의 금융정보는 유출되지 않은 것으로 파악됐다.
GS리테일은 “유출 사실 인지 후 해킹을 시도하는 IP와 공격 패턴을 즉시 차단하고, 홈쇼핑 웹사이트 계정에 로그인할 수 없도록 잠금 처리했다”며 “로그인 시 본인 확인 절차를 강화하는 동시에 해당 고객들께 비밀번호 변경을 권고하는 안내 메시지를 발송했다”고 설명했다.
사후 대책 방안으로는 최고 경영진들이 참여하는 ‘정보보호 대책 위원회’를 발족해 사고를 수습하고, 이후 해당 조직을 상설 운영한다는 방침이다. 아울러 ▲정보 보호 투자 확대 ▲정보 보호 최신 기술 도입 및 시스템 고도화 ▲보안 정책 강화 ▲보안 전문 인력 강화 등의 종합 대응 방안도 마련할 것을 약속했다.
GS리테일은 “추가 피해 방지 및 예방을 위해 관련 기관 조사에 성실히 협조하고, 고객 및 관계자들과 투명하게 소통하겠다”며 “고객 여러분께 다시 한번 머리 숙여 사과드리며 고객 신뢰 회복을 위해 최선을 다하겠다”고 밝혔다.
이날 오전, GS샵에 가입된 회원들에겐 ‘개인정보가 유출돼 사과드린다’는 내용의 문자메시지가 발송됐다.
GS리테일은 “지난해 7월27일경 당사 홈쇼핑 웹사이트서 발생한 해킹 공격으로 인해 고객님의 개인정보가 유출된 정황을 확인했다”며 “당사는 계정 잠금 및 개인정보 수정 차단 등의 보안 조치를 취했다”고 밝혔다.
해킹으로 인한 개인정보 유출 문제는 사실 어제오늘의 문제는 아니다.
개인정보보호위원회 집계에 따르면, 지난 2019년부터 지난해까지 공공기관들의 개인정보 유출 건수는 ▲2019년 8건 ▲2020년 11건 ▲2021년 22건 ▲2022년 23건 ▲2023년 41건 ▲2024년(상반기) 50건으로 증가세를 보이고 있다.
해당 통계가 공공기관으로부터 개인정보가 유출됐다고 신고받은 건수인 것을 감안하면 유출 건수는 더 많을 것이라는 게 업계의 분석이다.
해킹은 법원, 정부24 등 정부기관은 물론 민간 기업인 카카오, 한화호텔앤드리조트, 골프존, 서울대학교 병원 등 전방위적으로 발생했다.
지난해 골프존은 회원 221만명의 개인정보 유출 사고로 개인정보보호위원회로부터 약 75억원의 과징금을 부과받았던 바 있다.
한 정보보안 업계 인사는 “(해킹으로 인한 개인정보 유출)문제가 되풀이되고 있는 배경엔 개인정보 보호법 위반에 대한 처벌이 약하다는 것”이라며 “핸행법적인 처벌은 제한적으로 (기업들이)이를 쉽게 감당할 수 있는 수준”이라고 지적했다.
“정부의 의지만 있다면 해결책은 사실 간단명료하다”는 그는 “개인정보 보호법을 개정해 처벌 수위를 대폭 강화해야 한다. 과징금을 기업 매출과 연동하는 방식으로 설정하고, 반복적으로 위반하는 기업엔 영업정지 등의 강력한 제제를 가해야 한다”고 강조했다.
그에 따르면, 유럽연합(EU)의 개인정보 보호법은 위반한 기업에 연매출의 4%까지 과징금을 부과할 수 있도록 하고 있다.
<jungwon933@ilyosisa.co.kr>
