GS리테일 GS샵, 158만건 고객 개인정보 유출…대책 마련 착수
GS리테일이 운영하는 홈쇼핑 GS샵에서 158만건에 달하는 고객 개인정보가 유출된 것으로 확인됐다.
이번 유출은 타 사이트에서 유출된 아이디와 비밀번호를 활용한 ‘크리덴셜 스터핑’ 공격으로 발생한 것으로 추정되며, GS리테일은 즉각적인 대응 조치와 함께 보안 강화에 나섰다.
27일 유통업계에 따르면 GS리테일은 지난 1월 GS25 편의점 홈페이지에서 고객 개인정보가 유출된 정황을 포착한 후 추가 조사를 진행했다.
이후 최근 1년간의 모든 인터넷 사이트 로그를 분석한 결과, 홈쇼핑 웹사이트에서도 2024년 6월 21일부터 2025년 2월 13일 사이 동일한 수법으로 대규모 개인정보가 유출된 사실을 확인했다.
이번에 유출된 개인정보는 △이름 △성별 △생년월일 △연락처 △주소 △아이디 △이메일 △기혼 여부 △결혼기념일 △개인통관고유부호 등 10개 항목이다.
다행히 멤버십 포인트, 결제 수단 등의 금융 정보는 포함되지 않은 것으로 확인됐다.
그러나 주소와 연락처, 기혼 여부 등의 민감한 정보가 포함되어 있어 2차 피해에 대한 우려가 커지고 있다.
GS리테일은 고객들이 다른 사이트에서 유출된 정보로 자사 서비스에 로그인하는 ‘크리덴셜 스터핑’ 방식의 해킹 공격이 원인이라고 보고 있다.
이는 해커가 다크웹 등에서 유출된 계정 정보를 구매한 후, 이를 무차별적으로 입력해 로그인에 성공하면 추가적인 정보를 빼내는 수법이다.
이번 사태가 알려지자 GS리테일은 해킹 시도가 이루어진 IP 주소와 공격 패턴을 즉시 차단했다.
또한 고객 계정의 로그인 기능을 잠정적으로 차단하고, 추가적인 해킹 피해를 방지하기 위해 본인 확인 절차를 대폭 강화했다.
아울러 GS리테일은 해당 고객들에게 비밀번호 변경을 강력히 권고하는 안내 메시지를 개별 발송했다.
이를 통해 고객들이 동일한 아이디와 비밀번호를 여러 사이트에서 사용할 경우 발생할 수 있는 보안 위험성을 경고하고, 계정 보호 조치를 신속히 취하도록 유도하고 있다.
GS리테일 관계자는 “현재 해킹을 시도한 IP를 차단하고, 공격 패턴을 분석하는 등 추가적인 보안 조치를 시행 중”이라며, “고객들의 불안감을 해소하기 위해 정보 보호 대책을 더욱 강화할 것”이라고 밝혔다.
GS리테일은 이번 개인정보 유출 사태를 계기로 정보 보안 체계를 전면적으로 강화하기로 했다.
이를 위해 최고 경영진이 직접 참여하는 ‘정보보호 대책 위원회’를 신설하고, △정보 보호 투자 확대 △최신 보안 기술 도입 및 시스템 고도화 △보안 정책 강화 △보안 전문 인력 보강 등 종합적인 대응 방안을 마련할 방침이다.
특히 이번 사고를 계기로 고객 계정 보호 시스템을 대폭 강화할 계획이다.
향후에는 AI 기반 보안 솔루션을 도입해 비정상적인 로그인 시도를 실시간으로 감지하고, OTP(일회용 비밀번호) 및 2단계 인증(2FA) 시스템을 적용해 로그인 보안성을 높이는 방안을 검토하고 있다.
또한, 유사한 보안 위협을 예방하기 위해 내부 보안 점검을 정례화하고, 고객 대상 보안 교육 및 안내를 지속적으로 실시할 계획이다.
이번 개인정보 유출 사건으로 인해 GS리테일의 고객 신뢰도가 타격을 받을 가능성이 크다.
최근 대형 유통업체 및 금융권에서 크리덴셜 스터핑 공격으로 인한 보안 사고가 연이어 발생하고 있어 소비자들의 우려가 커지고 있는 상황이다.
보안 전문가들은 “기업이 고객 개인정보를 보호하기 위해 강력한 보안 조치를 취하는 것은 기본”이라며, “무엇보다도 고객들이 동일한 아이디와 비밀번호를 여러 사이트에서 사용하지 않도록 계정 관리 습관을 바꾸는 것이 중요하다”고 조언했다.
GS리테일 측은 “이번 사고에 대해 깊이 사과드리며, 고객 보호를 위한 모든 조치를 신속히 취하고 있다”고 전했다.
이어 “앞으로 보다 강력한 보안 시스템을 구축해 재발 방지에 최선을 다하겠다”고 밝혔다.
한편, GS리테일은 개인정보 유출과 관련된 고객 문의를 접수하고 있으며, 피해가 확인된 고객들에게 추가적인 보상 방안을 검토 중인 것으로 알려졌다.
다른 기사보기
전수인(su2nee@sabanamedia.com) 기사제보
관련 기사
