▲ 9만 명의 고객정보가 유출된 GS리테일 홈페이지<사진=GS리테일 홈페이지 갈무리>

 

[토요경제 = 양지욱 기자] ‘GS25’ 운영사인 ‘GS리테일’에서 웹사이트 해킹 공격으로 고객 개인정보가 일부 유출된 사고가 발생했다. 

 

6일 본부 취재에 따르면 ‘GS리테일’ 해킹 사실을 인지한 직후 조치했다고 밝혔지만 해킹 발생 1주일이 넘도록 GS리테일이나 해킹이 시도된 ‘GS25’ 홈페이지 어느 곳에서도 이에 대한 공지를 하지 않아 소비자들의 비판이 커질 전망이다. 

 

특히 ‘GS25’ 회원은 같은 아이디로 GS숍이나 GS더프레시도 함께 이용하는 고객이 많이 2차 피해도 제기되고 있다.

 

이날 GS리테일은 지난해 12월 27일부터 2025년 1월 4일 사이 이뤄진 웹사이트 해킹 공격으로 24시간 편의점 ‘GS25’ 회원 중 9만여 명의 개인 정보가 해킹된 것으로 알려졌다.

유출된 것으로 추정되는 개인 정보는 이름, 성별, 생년월일, 연락처, 주소, 아이디, 이메일 등 7개 항목이다.

GS리테일은 이러한 사실을 인지한 후 해킹을 시도하는 IP를 차단하고 고객 계정에 로그인할 수 없도록 잠금 처리했다고 밝혔다. 아울러 개인 정보가 표시된 페이지를 확인할 수 없도록 임시로 폐쇄했다.

이번에 확인된 해킹 수법은 여러 경로를 통해 수집한 계정과 비밀번호 등의 정보를 무작위로 대입해 로그인한 후 개인 정보를 훔치는 '크리덴셜 스터핑'(credential stuffing)이라고 GS리테일은 설명했다.

 

하지만 GS리테일은 자사 홈페이지 뿐 아니라 해킹사고가 발생한 GS25 홈페이지에는 해킹사고 공지를 하지 않았다.

 

GS리테일 관계자는 “해킹사고 인지한 지 72시간 이내에 신고하는 규정에 따라 한국인터넷진흥원(KISA)에 신고했다”며 “9만명 고객에게만 해킹 위험을 알렸다”라며 “홈페이지 공지는 아직 결정된 바 없다” 말했다.

 

GS리테일는 현재 4개 브랜드(GS25, GS숍, GS더프레시, lalavia)가 통합 아이디로 운영되고 있다. 이에 따라 2차 피해가 예상됨에도 소극적인 조치로 비판에 직면했다.

 

GS리테일은 “2차 피해를 방지하기 위해 비밀번호를 변경해 주시기를 바란다”라며 “개인정보 악용으로 의심되는 전화, 메일 등을 받거나 기타 궁금한 사항은 담당 부서로 연락 바란다”고 공지했다.

 

토요경제 / 양지욱 기자 yjw@sateconomy.co.kr

[ⓒ 토요경제. 무단전재-재배포 금지]