 |
| (사진=게티이미지뱅크) |
유통업계에 개인정보 유출 사고가 잇달아 발생하면서 소비자의 불안이 커지고 있다. 이를 투자를 통해 정보보호 강화에 노력해야 한다는 지적이 나온다.
2일 유통업계에 따르면 CJ올리브영은 지난달 16일 온라인몰 로그인 시 타인의 정보가 노출되는 사고가 발생했다. 정보 유출 피해 회원 규모는 1만명으로 추산된다. CJ올리브영은 회원 이름, 프로필 사진, 회원 등급, 배송지 주소가 유출됐다고 개인정보보호위원회에 신고했다.
개인정보위는 CJ올리브영이 이용자에게 유출 통지·신고 기한 준수를 적법하게 지켰는지와 유출 경위 및 규모, 기술적·관리적 보호조치 위반 여부 등의 ‘개인정보 보호법’ 위반 여부에 대해 조사한다. 다만 정보 유출 사고 발생 후 6일 뒤에 후속 조치가 이뤄졌다는 비판이 제기됐다.
올리브영 측은 “내부적으로 정확한 경위와 규모를 파악하는 과정에서 시간이 지체됐다”며 “시스템 변경 작업 중 일시적인 오류 현상으로 인해 성명과 주소 등 정보가 다른 고객에게 발생되는 상황이 발생했으며, 당일 상황 인지하고 즉시 원상복구 조치했다. 고객 분들께 심려 끼쳐드린 점 깊이 사과드린다”고 밝혔다.
G마켓에서는 지난 1월 일부 고객이 구입한 미사용한 전자 문화상품권 등을 무단으로 사용하는 사례가 발생했다. G마켓의 사례의 경우 ‘크리덴셜 스터핑’ 공격이 의심된다고 전문가들은 보고 있다.
크리덴셜 스터핑은 해커가 이미 유출되거나 사전에 탈취한 사용자 계정과 비밀번호를 다른 웹사이트 등에 무작위로 대입해 로그인에 성공하면 해당 사용자의 정보를 빼가는 수법이다. G마켓 관계자는 “로그인 방식 강화, PIN 번호 노출 방식 변경 등을 완료했다”면서 “추가적인 기술 개선도 진행 중”이라고 밝혔다.
이에 앞서 인터파크도 지난 1월 10일 홈페이지를 통해 “신원 불상의 자로부터 사전 수집된 것으로 추정되는 계정정보(아이디, 비밀번호)를 이용한 로그인 시도가 발생했다”며 “외부 불상자로부터 로그인 된 일부 회원님의 정보가 유출(의심)됐을 가능성이 확인돼 안내드린다”고 공지했다. 이번 공격으로 일부 회원의 이메일, 성별, 생년월일, 전화, 주소, 멤버등급 등의 정보가 유출됐을 가능성이 있는 것으로 업계 안팎에서는 보고 있다.
유통업계의 잇따른 정보 유출을 두고 IT전문가들은 기업들의 보안 투자가 부족하다는 지적이 나온다. 과학기술정보통신부의 ‘2022년 정보보호 공시 현황 분석보고서’에 따르면 분석 대상 627개 국내 기업의 IT투자 대비 정보보호 투자 비중은 9.13%로 미국(23%), 영국(20%), 프랑스(20%) 등 선진국과 비교하면 투자 비중이 낮다.
한 정보보호 전문가는 “기업 자체에서 매출 대비 보안 전문 인력, 장비 도입 등을 통해 정보 보호를 강화해야 하는데 보안이 뒤로 밀리니 유출 사고로 이어지는 것으로 보인다”고 분석했다.
한 유통업계 관계자는 “개인정보 유출 사고가 심각해지는 만큼 고객 정보를 취급하는 기업들의 책임도 무거워지고 있다”면서 “기업들은 서비스에 대한 투자는 물론 보안 시스템을 확대하고 사이버 보안 노하우를 배우는 보안 분야에도 충분한 투자가 이뤄져야 할 것”이라고 강조했다.
장민서 기자 msjang@viva100.com
