[서울=뉴스핌] 최주은 기자 = 홈플러스는 국회의원 변재일 의원의 고객정보 4만9000건 유출 주장에 대해 고객정보 유출은 없었고 이를 은폐한 사실 또한 없다고 26일 해명했다.

국회 과학기술정보방송통신위원회 소속 더불어민주당 변재일 의원이 방통위로부터 제출받은 자료에 따르면, 2017년 10월 17일부터 지난해 10월 1일까지 약 1년에 걸쳐 미상의 특정인이 홈플러스 온라인몰 4만9000명의 계정에 접속한 것으로 나타났다.

변 의원은 다른 사람의 계정으로 접속하는 것 자체가 개인정보 유출에 해당한다고 지적했으며, 회사 측이 유출 사실을 인지한지 엿새가 지났음에도 이용자에게 관련 내용을 알리지 않은 것은 정보통신망법 위반에 해당한다고 했다.

변 의원은 “홈플러스는 이미 지난 2011년 개인정보 장사로 곤욕을 치른 사실이 있다”며 “그럼에도 불구하고 개인정보 유출과 재산상의 피해 사실을 고객들에게 6일 동안 은폐한 것은 무책임한 행태”라고 지적했다.

변재일 국회의원 [사진=변재일 의원실]

이에 대해 홈플러스는 고객정보가 유출된 것이 아니며, 동시에 이를 은폐한 적이 없다고 해명했다.

이번 사건은 미상의 특정인이 타인의 홈플러스 계정에 로그인해 쇼핑 내역을 자신의 OK캐쉬백 포인트로 절취한 건이다. 당사자는 다른 사이트에서 불법으로 수집한 불특정 다수의 아이디와 패스워드를 홈플러스 온라인에서 무작위로 입력해 로그인을 시도, 일부 접속에 성공했다.

사건의 피해자는 다른 사이트와 동일한 아이디 및 패스워드를 사용 중이었던 4만9007명의 고객인 것으로 확인됐다. OK캐쉬백 포인트 부정적립에 대한 전체 피해액은 총 400여만원 수준으로 파악됐다.

홈플러스 측은 “범죄자는 타 사이트에서 도용한 아이디와 비밀번호로 홈플러스 온라인쇼핑몰에 정상 로그인을 했다”며 “홈플러스 온라인쇼핑몰에서는 가족과 지인 등 타인의 OK캐쉬백 카드로도 적립할 수 있기 때문에 당사는 고객의 민원이 최초 발생할 때까지 이를 비정상 행위로 인지하기 어려웠다”고 해명했다.

그러면서 “홈플러스는 2008년부터 고객의 비밀번호를 입력하는 즉시 일방향 암호화해 데이터베이스에 저장하므로 시스템에서 비밀번호가 유출되는 것은 원천적으로 불가능하다”며 “따라서 고객정보가 해커에게 직접 유출되지 않았고 피해 고객의 패스워드를 즉시 초기화한 후 관련 내용을 이메일 및 문자메시지를 통해 안내했다”고 설명했다.

현재 사건은 인지 직후 한국인터넷진흥원(KISA)에 신고했으며 방송통신위원회 조사 협조를 진행 중이다.

아래는 미상의 특정인이 무단 로그인을 시도한 사건일지다.

- 9월19일(목) 21:00 : 한 고객의 고객센터 문의(OK캐쉬백 적립 이상 유무 확인)에 따라 관련 내용을 OK캐쉬백 측과 확인한 결과, 1개의 OK캐쉬백 카드 번호가 다수의 ID에 등록되어있는 사항 확인

- 9월20일(금) 09:00 : 유관부서 회의를 통한 무단 로그인 사실 확인. 한국인터넷진흥원(KISA) 신고 및 피해고객 응대방안, 재발방지책 수립 등 논의

- 9월20일(금) 15:00 : KISA 신고

- 9월20일(금) 18:00 : 대상 고객 이메일 및 문자메시지(LMS) 안내 완료

june@newspim.com