2024-03-29 15:05 (금)
홈플러스 고객 4만9천명 개인정보 유출…피해사실 홈페이지에 공지도 안해
상태바
홈플러스 고객 4만9천명 개인정보 유출…피해사실 홈페이지에 공지도 안해
  • 길민권 기자
  • 승인 2019.09.26 16:44
이 기사를 공유합니다

변재일 의원 “3천만원 이하의 과태료를 부과할 수 있는 현행법 위반 사항”
홈플러스 온라인몰
홈플러스 온라인몰

홈플러스 온라인몰에 미상의 특정인이 지난 2017년 10월부터 1년 동안 포인트 탈취 목적으로 4만9천개 아이디로 접속한 정확이 드러났다. 홈플러스 고객 4만 9,000명의 개인정보가 유출된 것에 대해 홈플러스는 포인트 미적립 민원이 발생하자 2년 만에 뒤늦게 인지하게 됐다.

이에 변재일 의원은 “홈플러스가 6일 동안 이용자에게 은폐한 것은 현행법 위반이며 철저히 조사해야 한다”고 밝혔다. 현재 방송통신위원회와 한국인터넷진흥원이 사실조사를 실시하고 있다.

25일 변재일 의원(과학기술정보방송통신위원회, 더불어민주당)이 방송통신위원회로부터 제출받은 자료에 따르면, 미상의 특정인이 홈플러스 온라인몰에 타인의 계정정보(아이디, 비밀번호)로 접속한 사실이 드러났다. 홈플러스 온라인몰 해킹 목적은 포인트 탈취로 알려졌으며, 유출된 개인정보는 4만9천건에 이르는 것으로 파악됐다.

이번 사건은 2년 전인 2017년 10월 17일부터 2018년 10월1일까지 약 1년에 걸쳐 발생한 것으로 확인됐다. 홈플러스는 사건이 발생한 지 2년이 되도록 관련 사실을 인지하지 못하고 있다가 지난 9월 20일 한 고객이 포인트 미적립 민원을 제기하자 뒤늦게 개인정보 유출 피해를 인지하게 되었다.

홈플러스는 현행법에 따라 지난 20일 방송통신위원회에 사고 내용을 알렸다. 정보통신망법 제27조의3에 따르면 서비스 제공자는 개인정보의 유출 사실을 인지하면 지체없이 모든 사항을 이용자에게 알리고, 방송통신위원회 또는 한국인터넷진흥원에 해당 내용을 신고하도록 되어있다.

그러나 홈플러스는 개인정보 유출 사실을 인지한 지 6일이 지난 현재까지 이용자에게 개인정보 유출과 포인트 탈취 사실을 알리지 않고 있다. 이는 정보통신망법 위반에 해당한다.

변재일 의원은 “홈플러스가 개인정보 유출을 인지한 지 6일이 지나도록 고객에게 피해사실을 알리지 않고 있는 것은 3천만원 이하의 과태료를 부과할 수 있는 현행법 위반 사항”이라고 지적했다.

한편 방통위는 이번 사건에 대해 해커로 추정되는 이가 홈플러스 가입자 아이디와 패스워드를 취득해 부정 로그인을 시도한 것으로 보고, 한국인터넷진흥원과 함께 지난 25일 현장조사에 착수했다.

방통위와 KISA는 홈플러스에 대해 개인정보 유출 규모 및 원인 등을 파악하고, 개인정보 보호를 위한 기술적‧관리적 조치 여부 등에 대한 사실 조사 후 법 위반 사항이 확인될 경우 제재조치를 할 계획이다. 정보통신망법 제64조의3은 정보통신서비스 제공자가 개인정보 보호를 위한 기술적‧관리적 조치를 하지 않아 개인정보의 도난, 유출 등이 발생한 경우 위반행위와 관련한 매출액의 100분의 3이하에 해당하는 과징금을 부과하도록 정하고 있다.

변재일 의원은 “홈플러스가 무려 2년 동안 고객 4만 9천명의 개인정보 유출 사실을 인지하지 못한 것은 고객의 개인정보를 내팽개친 것이나 다름없다”며 “이미 지난 2011년 개인정보 장사로 곤혹을 치른 사실이 있음에도 불구하고 개인정보 유출과 재산상의 피해 사실을 고객들에게 6일 동안 은폐한 것 역시 무책임한 행태”라고 지적하였다.

또한 변 의원은 “방송통신위원회와 KISA는 알려진 사실 이외에 추가 피해가 없는지 신속하고 철저하게 조사하고 위법사항에 대해서는 단호히 대처해야 한다.”고 강조했다.

추가로 확인된 내용을 살펴보면 다음과 같다.

홈플러스는 9월 4일 고객의 OK캐시백 적립 이상 민원 접수를 받고 OK캐시백에 민원 내용에 대한 문의를 했다.

19일 OK캐시백으로부터 1명의 카드가 다수의 ID에 등록되어 있음을 확인하고 이 숫자가 4만9천명에 달하는 것으로 조사됐다.

홈플러스가 신고한 개인정보침해조사 내용에 따르면, 미상의 특정인이 온라인몰에 타인의 계정정보(아이디, 비밀번호)로 접속한 최초 시점은 2017년 10월 17일이다.

홈플러스는 4만 9천개 이상의 아이디에 무단 로그인과 재산 탈취가 발생했음에도 불구하고 고객의 민원이 발생하기 전까지 2년 동안 이 사건을 인지하지 못하고 있었다는 점이다.

홈플러스는 온라인쇼핑몰의 비정상적인 로그인, 고객의 재산(포인트) 관리를 소홀히 한 책임에서 자유로울 수 없다고 변재일 의원은 지적한다.

또한 홈플러스는 26일 오후 3시 기준으로 홈페이지에 개인정보침해사고 조사에 대해 게재하지 않고 있다. 이 역시 개인정보보호법 위반이다.

개인정보보호법 제34조와 시행령 제40조에 따르면 ‘1천명 이상의 정보주체에 관한 개인정보가 유출된 경우에는 서면등의 방법과 함께 인터넷 홈페이지에 정보주체가 알아보기 쉽도록 유출된 개인정보의 항목, 유출된 시점과 그 경위, 유출로 인해 발생할 수 있는 피해 최소화를 위해 고객이 할 수 있는 방법, 홈플러스의 대응조치 및 피해구제 절차, 고객 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처를 7일 이상 게재해야 한다.

그럼에도 불구하고 지금까지 확인된 피해 고객에게만 이메일과 문자메시지로 피해사실을 알렸을 뿐 개인정보보호법에서 정한 통지 의무를 다하지 않고 있다.

변재일 의원은 “현재 이 사건은 방송통신위원회와 KISA가 조사 중임. 조사 과정에서 추가 피해가 확인될 수 있다. 홈플러스 아이디와 비밀번호로 로그인하면 해당 고객이 입력한 개인정보를 확인할 수 있는 만큼 조사가 완료되지 않은 상황에서 홈플러스가 이 사건을 고객 정보 유출이 아니라고 단정지을 수 없다”며 “방송통신위원회와 KISA는 이번 개인정보침해 사건에 대해 철저히 조사하고 확인된 위법에 대해서는 법에 따라 처리해야 할 것”이라고 강조했다.

[PASCON 2019 개최]
·하반기 최대 정보보안/개인정보보호 컨퍼런스 PASCON 2019
·7시간 보안교육 이수 및 2020년 대비 보안실무 교육
·공공,기업 개인정보보호 및 정보보안 실무자라면 누구나 무료 참석
-무료사전등록: 클릭

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★