[그린포스트코리아 김형수 기자] 방송통신위원회(이하 방통위)와 한국인터넷진흥원이 홈플러스에서 고객 4만9000명의 개인정보가 흘러나간 사실을 확인하고 조사에 들어갔다. 홈플러스는 내부 조사 결과 개인정보가 직접 새나가지는 않았다는 해명을 내놨다. 

25일 변재일 의원이 방통위로부터 제출받은 자료에 따르면, 미상의 특정인이 다른 사람의 아이디와 비밀번호를 사용해 홈플러스 온라인몰(homeplus.co.kr)에 접속한 것으로 나타났다.

홈플러스 온라인몰을 해킹은 목적은 포인트 탈취며, 4만9000건에 달하는 개인정보가 유출된 것으로 파악됐다. 사건은 2017년 10월17일에서 지난해 10월1일 사이에 일어났다.

변재일 의원 측은 홈플러스가 해당 사실을 늦장 대응을 하며 관련 법을 어겼다고 주장했다.

홈플러스는 지난 20일 한 고객이 민원을 제기하면서 개인정보 유출 피해가 생겼음을 인지한 뒤 정부 당국에는 당일 사고 내용을 알렸지만 6일이 지난 지금까지 이용자에게 개인정보 유출과 포인트 탈취 사실을 알리지 않았는데 이는 정보통신망법 위반에 해당한다는 것이다.

방통위와 한국인터넷진흥원은 해커로 추정되는 인물이 홈플러스 가입자 아이디와 패스워드를 취득해 부정 로그인을 시도한 것으로 보고 25일 현장조사에 착수했다. 홈플러스에 대해 개인정보 유출 규모 및 인원 등을 파악하고, 개인정보 보호를 위한 기술적・관리적 조치 여부 등에 관한 사실 조사 후 법 위반 사항이 확인될 경우 제재조치를 내릴 계획이다. 

변 의원은 “홈플러스가 무려 2년 동안 고객 4만9000명의 개인정보 유출 사실을 인지하지 못한 것은 고객의 개인정보를 내팽개친 것이나 다름없다”며 “이미 2011년 개인정보 장사로 곤혹을 치른 사실이 있음에도 불구하고 개인정보 유출과 재산상의 피해 사실을 고객들에게 6일 동안 은폐한 것 역시 무책임한 행태”라고 지적했다.

홈플러스는 자사의 고객정보가 새나가지 않았으며, 이를 은폐하지도 않았다고 해명했다. 미상의 특정인이 다른 사이트에서 불법 수집한 불특정 다수의 아이디와 패스워드를 홈플러스 온라인쇼핑몰에서 무작위로 입력해 무단 로그인을 시도했고, 이 중 다른 사이트와 아이디와 패스워드가 같아 로그인에 성공한 계정에 범죄자 본인의 OK캐쉬백 카드번호를 입력해 타인이 쇼핑한 내역을 자신의 OK캐쉬백 포인트로 절취한 사건이라는 입장이다.

이어 홈플러스는  다른 사이트와 동일한 아이디 및 패스워드를 사용 중이던 4만9007명의 고객들이 피해를 입었으며, OK캐쉬백 포인트 부정적립에 대한 전체 피해액은 총 400여만원 수준이라고 확인했다. 피해고객에게는 신고 당일인 지난 20일 오후 6시부터 패스워드를 즉시 초기화한 후 새로운 비밀번호를 사용하도록 이메일 및 문자메시지로 개별 안내했다고 전했다.

홈플러스 관계자는 “내부적으로 개인정보처리시스템의 안전성을 외부 보안전문업체와 재검토했고 당사 고객의 개인정보 유출 정황은 확인되지 않았다”며 “사고 직후, 부정 적립에 사용된 OK캐쉬백 카드 등록을 삭제하고 해당 카드의 적립 및 사용이 불가하도록 조치했으며, 관제 운영 기준을 강화했다”고 말했다. 

alias@greenpost.kr