한국인터넷진흥원에 22일 신고해 '늑장 대응' 의혹...개보위 조사 착수
CJ올리브영 “시스템 오류”...LGU+‧G마켓 '크리덴셜 스터핑' 수법 추정
[메가경제=김형규 기자] 최근 연이은 국내 기업들의 해킹 피해 소식에 소비자 우려가 커지는 가운데 CJ올리브영에서도 고객 1만여 명의 개인정보가 유출돼 당국이 조사에 나섰다.
CJ올리브영은 이번 고객 정보 유출에 대해 해킹이 아닌 시스템 오류에 따른 사고라고 밝혔다. 이는 앞서 ‘크리덴셜 스터핑’ 수법에 개인정보 유출 사태를 겪은 LG유플러스‧G마켓과 다른 원인이지만 개인정보에 민감한 소비자들이 큰 피해를 봤다는 점에서 같은 지적을 받는다.
 |
| ▲ 서울의 한 올리브영 점포 외관 [사진=김형규 기자] |
CJ올리브영에 따르면 지난 16일 자사 온라인몰 로그인 시 본인 정보가 아닌 다른 회원 정보가 보이는 사고가 발생했다.
‘마이페이지’에서 접속한 회원과는 다른 회원의 이름과 주소 프로필 사진, 주문 내역, 회원등급, 적립금 등의 개인정보들이 고스란히 노출됐다.
현재 CJ올리브영 측은 약 1만 명의 회원 정보가 노출된 것으로 추정하고 있다. 이 회사의 멤버십 회원 수는 지난해 상반기 기준 1100만 명이 넘는 것으로 알려져 있다.
또 CJ올리브영은 사태를 파악한 지 약 일주일 뒤인 지난 22일에 당국에 이를 신고해 늦장 대응 의혹도 불거졌다. 직접적인 피해를 본 고객들에게는 신고 다음 날인 23일 오전에야 사고를 알리고 사과했다.
개인정보보호법에 따르면 정보통신서비스 제공자는 개인정보 침해 사고를 인지한 뒤 24시간 안에 한국인터넷진흥원 혹은 개인정보보호위원회에 신고하고 피해자들에게 통지해야 한다.
이번 사고에 대해 CJ올리브영 관계자는 “관련 기관 신고를 완료했고 피해 예상 고객들에게 안내 후 홈페이지에도 관련 내용을 고지한 상황”이라며 “외부 공격에 의한 개인정보 유출 사고와는 달리 시스템 변경 작업 중 발생한 오류로 보고 있다”고 설명했다.
이어 당국 신고가 늦어진 점에 대해선 “유출 피해를 특정하는 과정과 정확한 발생 원인, 노출 범위, 피해자 수 등을 파악하는 과정에서 시간이 다소 늦어졌다”며 “이에 대한 징계‧제재 등 처벌에 대해선 해당 기관의 판단 범위이고 회사는 관련 조사에 임할 것”이라고 해명했다.
23일 개인정보보호위원회는 이번 CJ올리브영의 개인정보 유출 사고에 대한 조사에 착수했다고 밝혔다.
개인정보위는 CJ올리브영이 이용자에게 유출 통지·신고해야 하는 기한을 준수했는지를 확인할 계획이다. 이와 함께 유출 경위와 규모, 기술적·관리적 보호조치 위반 여부도 조사한다.
개인정보위 관계자는 “CJ올리브영의 위반사항이 확인되면 행정처분하고 재발 방지 대책
등을 마련하도록 할 예정”이라고 전했다.
 |
| ▲ 올리브영이 23일 고객 정보 유출에 대해 공지한 사과문[올리브영 홈페이지 캡처] |
한편 최근 국내 기업들의 사이버 보안 문제가 빈번하게 잇따르며 소비자들 불안감은 점점 커지고 있다. 특히 지난달 연이은 LG유플러스와 G마켓의 고객 정보 유출 사태는 이 같은 우려에 더욱 불을 지폈다.
지난달 10일 LG유플러스는 최소 18만 명의 자사 고객 개인정보가 유출됐다는 내용의 사과문을 공지했다.
유출된 개인정보엔 고객들의 성명‧생년월일‧전화번호 등이 포함됐다는 게 이 회사의 설명이었다. 다만 LG유플러스는 납부와 관련한 고객 금융정보는 이에 포함되지 않았다고 덧붙였다.
이어 이달 3일에 추가로 공지한 내용에선 불법 판매자로부터 약 29만 명의 개인정보 데이터를 입수했으며 이 중 LG유플러스 고객이 18만 명인 것으로 확인됐다고 알렸다.
나머지 11만 명의 데이터는 해지 고객의 것으로 회사가 전자상거래보호법에 따라 분리 보관 중이던 정보였다.
이에 더해 LG유플러스는 같은 달 29일 디도스(DDoS) 공격까지 받으며 피해가 가중됐다.
아울러 같은 달 19일 G마켓에서는 이용자들의 상품권이 도용됐다는 피해 사례가 속출하며 해킹 의혹이 불거진 바 있다.
당시 G마켓 고객들은 상품권과 간편결제 서비스 도용 피해를 호소하며 아이디 해킹 등을 의심했다. 이용자들은 G마켓에서 구매한 상품권이 모르는 사이 무단으로 사용된 정황을 발견했다고 주장하며 피해 사례를 공유했다.
일부 온라인 커뮤니티 이용자는 G마켓이 이 같은 피해를 미리 알고서도 일찍 대응하지 않았다고 주장하기도 했다.
당시 G마켓은 이에 대해 해킹과는 무관하며 개인정보 도용에 대한 정황이 의심되는 상황이라는 입장을 밝혔다. 이어 피해 고객들의 계정을 폐쇄하고 연락 조치했다.
LG유플러스와 G마켓의 고객 정보 유출‧도용 사태는 사이버 공격 방식 중 하나인 ‘크리덴셜 스터핑’ 수법에 당한 것으로 추정됐다.
이는 유출된 개인정보를 근거로 비밀번호를 무작위 대입해 아이디와 조합하는 방식이다. 유출된 정보 도용이라는 점에서 사이트를 직접 공격하는 해킹과는 차이가 있다.
[저작권자ⓒ 메가경제. 무단전재-재배포 금지]
