홈플러스가 고객 4만9000명의 고객정보 해킹 사실을 뒤늦게 알았다 (사진=홈플러스)
“온라인과 오프라인을 넘나드는 올라운드 플레이어로 뛰겠다”
올해 7월 홈플러스 임일순 대표는 온라인 시스템 장착을 선포하며 이 같이 말 했다. 더불어 오는 2021년까지 021년까지 전국 140개 전 지점을 온라인 주문·배송 시스템을 갖춘 '쇼킹'(shopping+picking) 매장으로 만든다는 계획을 밝혔다. 이를 통해 일일 배송 건수를 기존 3만3000건에서 12만건까지 키우겠다며 야심찬 포부를 전했다.
하지만 임일순 대표의 ‘온라인 선택’에 제동이 걸렸다. ‘고객 정보 장사를 했다’는 오명을 채 벗기도 전해 개인정보 유출 사건이 발생했다. 사고 2년이 지나도록 인지하지 못하고 있어 홈플러스의 고객정보 관리 허술이 지적되고 있다.
지난 26일 국회 과학기술정보방송통신위원회 소속 변재일 더불어민주당 의원은 방송통신위원회로부터 제출받은 자료를 토대로 홈플러스의 고객정보 유출 사실을 알렸다. 자료에 따르면 신원 미상의 특정인이 해킹을 통해서 홈플러스 온라인몰에 타인의 계정 정보로 접속한 것으로 나타났다. 해킹 목적은 캐쉬백 포인트 탈취로 알려졌으며 유출된 개인정보는 4만9000건에 이르는 것으로 파악됐다.
2년 전인 2017년부터 약 1년 여간 이 같은 사건이 발생하고 있었지만 홈플러스는 그동안 온라인몰 해킹 자체를 인지하지 못했다. 지난 20일에야 고객 민원 제기를 통해 사실을 확인하고 방통위에 신고 조치했다.
신고를 받은 방통위는 해당 사건이 홈플러스 가입자 아이디와 패스워드를 취득해 부정 로그인을 시도한 것으로 보고, KISA와 함께 지난 25일 조사에 착수했다. 방통위와 KISA는 개인정보 유출 규모 및 원인 등을 파악하고, 홈플러스의 기술적·관리적 조치여부 등에 대한 조사를 한 뒤 법 위반 사항이 확인될 경우 제재 할 방침이다.
이번 사안에 대해 홈플러스는 개인정보 유출이 아니라고 반박하고 있다. 특정인이 다수 고객의 아이디를 해킹한 범죄로 보고 있는 입장이다. 홈플러스의 부인에도 불구하고 ‘고객정보 장사’라는 오명은 더욱 선명하게 새겨질 것으로 보인다.
앞서 홈플러스는 지난 2011년 12월부터 2014년 6월까지 11회에 걸쳐 진행된 경품행사 수집한 고객정보를 보험사에 팔아 넘겼다가 처벌을 받은 바 있다. 당시 홈플러스는 응모권에 1㎜ 크기 활자로 고객정보를 수집 고지를 했다. 그렇게 모은 고객 개인정보 약 700만건을 7개 보험사에 건당 1980원씩 판매해 약 148억원 가량의 수익을 올렸다.