홈플러스 "도용아이디로 정상 로그인해 인지 어려워"
 |
| ▲미상의 특정인이 타인의 계정으로 홈플러스 온라인몰에 접속한 정황이 발견됐으나 홈플러스가 이를 인터넷 홈페이지에 공지하지 않아 은폐 의혹을 받고 있다. (사진=홈플러스 홈페이지) |
[세계로컬타임즈 임현지 기자] 고객 4만9000명의 개인 정보가 유출됐음에도 이를 알리지 않았다는 의혹을 받고 있는 홈플러스가 이 같은 내용은 사실이 아니라고 반박했다.
26일 국회 과학기술정보방송통신위원회 변재일 더불어민주당 의원이 방송통신위원회로부터 제출받은 자료에 따르면 미상의 특정인이 타인의 아이디에 접속한 사실이 드러났다.
이번 사건은 지난 2017년 10월 17일부터 2018년 10월 1일까지 약 1년에 걸쳐 발생했다. 해킹 목적은 포인트 탈취이며 유출된 개인정보는 4만9,000건에 이르는 것으로 파악됐다.
홈플러스는 사건이 발생한지 2년이 되도록 관련 사실을 인지하지 못하고 있었다. 지난 20일 한 고객이 포인트 미적립 민원을 제기하자 뒤 늦게 개인 정보 유출 피해를 인지한 것으로 알려졌다.
그러나 홈플러스가 이 같은 사실을 인지한지 6일이 지난 현재까지 이용자에게 사실을 알리지 않고 있어 정보통신법 위반에 해당된다는 것이 방통위 측 설명이다.
정보통신망법 제27조의3에 따르면 서비스 제공자는 개인 정보 유출 사실을 인지하면 지체 없이 모든 사항을 이용자에게 알리고, 방통위와 한국인터넷진흥원에 신고하도록 돼 있다.
변 의원은 "무려 2년 동안 이 같은 유출 사실을 인지하지 못한 것은 고객 개인 정보를 내팽개친 것이나 다름없다"며 "지난 2011년 개인 정보 장사로 곤혹을 치른 사실이 있음에도 이 같은 사실을 은폐한 것 역시 무책임한 행태"라고 꼬집었다.
이에 대해 홈플러스는 고객정보가 유출된 것이 아니며, 동시에 이를 은폐한 적이 없다고 해명했다.
홈플러스는 미상의 특정인이 다른 사이트에서 불법으로 수집한 불특정 다수의 아이디와 비밀번호를 홈플러스 온라인몰에 무작위 입력해 로그인을 시도했으며 일부 접속에 성공한 것이라고 설명했다. OK캐쉬백 포인트 부정 적립에 대한 전체 피해액은 총 400여만원 수준으로 알려졌다.
가족이나 지인이 타인의 OK캐시백 적립을 대신할 수 있기 때문에 고객의 민원이 발생할 때까지 이를 비정상 행위로 인지하기 어려웠다는 입장이다.
홈플러스는 "지난 2008년부터 고객이 비밀번호를 입력하는 즉시 일방향 암호화해 데이터베이스에 저장하기 때문에 원천적으로 고객 정보 유출이 불가능하다"며 "피해 고객의 비밀번호를 즉시 초기화한 후 관련 내용을 이메일 및 문자메시지를 통해 안내했다"고 말했다.
이에 대해 변 의원은 추가 설명 자료를 내고 "피해 고객에게만 이메일과 문자메시지로 해당 사실을 알린 것은 개인정보보호법에서 정한 통지 의무를 다하지 않은 것"이라고 지적했다.
개인정보보호법 제34조와 시행령 제40조에 따르면 1천명 이상의 정보주체에 관한 개인 정보가 유출된 경우, 인터넷 홈페이지에도 관련 공지사항을 7일 이상 게재해야 한다.
그러나 홈플러스는 이날 오후 3시 기준으로 홈페이지에 개인정보침해사고 조사에 대해 게재하지 않고 있다.
한편, 방통위는 해커로 추정되는 인물이 홈플러스 가입자 아이디와 패스워드를 취득해 부정 로그인을 시도한 것으로 보고, 한국인터넷진흥원과 지난 25일 현장조사에 착수했다. 방통위와 한국인터넷진흥원은 개인정보 유출 규모 및 원인 등을 파악하고, 법 위반 사항이 확인될 경우 제재 조치를 한다는 계획이다.
