GS리테일 웹사이트 해킹 공격…가입자 9만명 ‘개인정보 유출’

GS25·GS샵·GS더프레시 등 해당…이름·성별·연락처 등 7개 항목 유출

(사진=GS리테일 홈페이지 갈무리)

GS25·GS샵·GS더프레시 등을 운영하는 GS리테일이 웹사이트 해킹 공격으로 가입자 전화번호 등 개인정보 일부가 유출된 것으로 파악됐다. 피해 대상자는 약 9만여 명에 달하는 것으로 추정된다.

GS리테일은 6일 웹사이트 가입자들에게 문자 메시지를 보내 "12월 27일부터 이달 4일 사이 홈페이지 해킹 공격으로 개인 정보가 유출된 것으로 추정되는 정황을 확인했다"면서 "예상치 못한 일이 발생한 데 대해 사과드린다"고 밝혔다.

유출된 것으로 추정되는 개인정보는 이름, 성별, 생년월일, 연락처, 주소, 아이디, 이메일 등 7개 항목이다.

이번 해킹은 여러 경로를 통해 수집한 개인 계정과 비밀번호 등 정보를 특정 사이트에 방문해 무작위로 대입해 로그인 후 개인정보를 가로채는 '크리덴셜 스터핑(credential stuffing)' 수법이 사용된 것으로 알려졌다.

GS리테일 측은 해킹 사실을 인지한 후 해당 IP를 차단하고 고객 계정에 로그인할 수 없도록 잠금 처리하는 한편 개인 정보가 표시된 페이지를 확인할 수 없도록 임시 폐쇄했다.

이번 GS리테일 홈페이지 해킹 시도에 따라 자회사인 편의점인 GS25와 GS홈쇼핑 온라인 쇼핑몰인 GS샵, 슈퍼마켓 브랜드인 GS더프레시 등 각 사업 부문 이용자를 대상으로 추가 피해 접수를 받고 있다.

해킹을 통한 GS포인트 탈취 등 금전적 피해는 아직 확인되지 않고 있다. 업체 측은 홈페이지 불법 접속을 통한 고객 개인정보 탈취가 주목적인 것으로 추정하고 있다. GS리테일 관계자는 "2차 피해를 막기 위해 즉시 비밀번호를 바꾸고 개인정보를 악용한 것으로 의심되는 전화나 이메일을 받을 경우 신고해달라"고 당부했다.

GS리테일의 개인정보 유출 사고는 이번이 처음은 아니다. 2021년 6월 이벤트 당첨자 발표 과정에서 담당 직원의 실수로 고객 6000여 명의 개인정보가 SNS(사회관계망서비스)에 3시간 가량 노출됐다. 2020년에도 라이브커머스 진행 과정에서 9건의 개인정보를 유출, 개인정보보호위원회로부터 1120만 원의 과태료 처분을 받았다.

GS리테일 관계자는 "이번 건으로 불편과 염려를 끼쳐드린 점 고객 여러분께 깊이 사과드린다"며 앞으로 시스템 보안을 더욱 강화하고, 개인 정보를 철저히 보호하기 위해 최선의 노력을 다하겠다"고 밝혔다.