GS리테일, 해킹 공격으로 9만여 명 개인정보 유출

|스마트투데이=이재수 기자| GS리테일은 지난 12월 27일부터 4일까지 홈페이지가 해킹 공격을 받아 고객 고객 9만여 명의 개인정보가 유출된 것으로 확인됐다고 7일 밝혔다. 

GS리테일은 타사 사이트에서 유출된 것으로 추정되는 로그인 정보(ID/PW)를 활용한 자사 홈페이지 로그인 시도가 발생했다고 설명했다. 유출된 정보는 이름, 성별, 생년월일, 연락처, 주소, 아이디, 이메일 등 총 7개 항목이다. GS리테일은 GS25, GS샵, GS더프레시 등을 운영하고 있다.

회사에 따르면, 해킹은 ‘크리덴셜 스터핑(credential stuffing)’ 수법으로 이루어졌다. 이는 여러 경로로 수집한 ID와 비밀번호를 무작위로 대입해 로그인한 후 개인정보를 탈취하는 방식이다. 현재 해킹 주체는 파악되지 않은 상태다. 

GS리테일은 고객들에게 문자 메시지로 해당 사실을 안내하고 계정 잠금 처리를 완료했다. 아울러 로그인 시도 장소의 IP와 비정상적인 로그인 패턴을 차단하는 등 보안을 강화했다. 개인정보가 표시된 페이지도 임시 폐쇄됐다.

GS리테일은 개인정보보호위원회와 한국인터넷진흥원(KISA)에 이를 신고했으며, 추가 피해 여부 조사에 나섰다. 

GS리테일은 "여러 사이트에서 동일한 계정을 사용할 경우 2차 피해가 발생할 수 있다"며 고객들에게 비밀번호 변경을 권장했다

회사 관계자는 "안내 문자 메시지를 받지 않은 고객들은 정상적으로 홈페이지를 이용할 수 있으며, 개인정보 보호를 위해 시스템 보안을 강화하고, 개인정보 보호에 최선을 다할 겠다”고 밝혔다.