[아이뉴스24 김태헌 기자] 유통가에 개인정보 유출 주의보가 내려졌다. 인터파크를 시작으로 최근 CJ올리브영까지 올 들어서만 수 만명의 개인정보가 유출되면서, 기업 브랜드에 큰 타격이 입으면서다.
24일 유통업계에 따르면, 지난 16일 CJ올리브영 온라인몰에서는 로그인 시 본인 정보가 아닌 타인 정보가 보이는 사고가 발생했다. 이번 사고로 CJ올리브영 '마이페이지'에서는 로그인 당사자 회원 정보가 아닌 타인의 이름과 주문내역, 배송주소, 회원등급, 적립금 등이 그대로 노출됐다.
이번 사고 피해자는 1만여 명으로 추정되며, 올리브영은 사건 발생 6일이 지난 22일 당국에 신고를 마쳤다. 이 때문에 사고 발생 뒤 개인정보 노출 고지와 당국 신고를 일주일 가까이 미뤘다는 지적과 함께 불법행위 논란까지 일고 있다.
개인정보보호위원회(개인정보위)는 지난 23일 이번 개인정보 유출 사고에 대한 조사에 돌입했으며, CJ올리브영이 이용자에게 유출 통지·신고해야 하는 기한을 준수했는지와 유출 경위, 규모 등에 대해 조사를 펼칠 방침이다.
또 지난 달 10일에는 인터파크에서 개인정보 유출 의심 정황이 발견되기도 했다. 인터파크는 이날 자사 홈페이지를 통해 "신원 불상의 자로부터 사전 수집 된 것으로 추정되는 계정정보(아이디, 비밀번호)를 이용한 로그인 시도가 발생했다"고 밝혔다. 이번 공격으로 일부 회원의 이메일, 성별, 생년월일, 전화번호, 주소, 회원등급 등이 유출됐을 가능성이 있는 것으로 알려졌으며, 한 달이 지난 현재까지도 유출 범위 등은 공지되지 않았다.
지마켓에서도 지난 달 18일 계정 도용 피해 의심 사례가 발생해 회사가 공식 사과하기도 했다. 지마켓 역시 CJ올리브영처럼 개인정보 유출에 늑장 대응했다는 지적을 받기도 했지만, 회사 측은 이를 부인했다.
개인정보위 측은 최근 보도자료를 통해 "최근 온라인쇼핑몰을 중심으로 크리덴셜 스터핑 등 계정정보 도용 사례가 빈발하고 있어 온라인쇼핑몰 이용자와 기업들의 각별한 주의가 요구된다"며 "크리덴셜 스터핑(Credential Stuffing) 공격은 해커가 이미 유출되거나 사전에 탈취한 사용자 계정(ID)과 비밀번호를 다른 누리집(웹사이트) 등에 무작위로 대입해서 로그인이 성공하면 해당 사용자 정보를 빼가는 공격 수법"이라고 설명했다. 인터파크와 지마켓 등의 개인정보 유출의 경우 크리덴셜 스터핑이 의심되고 있다.
/김태헌 기자([email protected])
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기