GS리테일이 운영하는 홈쇼핑 업체 GS샵에서 약 158만 건의 고객 개인정보가 유출됐다. GS리테일 산하 편의점 업체인 GS25에서 약 9만 명의 고객 정보가 유출된 지 약 한 달 만이다.

27일 GS리테일은 개인정보 유출 사고에 대한 입장문을 내고 "홈쇼핑 웹사이트에서 지난해 6월 21일부터 지난 2월 13일 사이 약 158만 건의 개인정보 유출 정황을 확인했다"고 밝혔다.

유출된 것으로 추정되는 개인정보는 ▲이름 ▲성별 ▲생년월일 ▲연락처 ▲주소 ▲아이디 ▲이메일 ▲기혼 여부 ▲결혼기념일 ▲개인통관고유부호 등 총 10개 항목이다. 다만, 멤버십 포인트 및 결제 수단 등 금융 정보는 유출되지 않은 것으로 확인됐다.

GS샵 홈페이지 개인정보 유출은 지난달 발생한 GS25 개인정보 유출 사고 후속 조치 과정에서 추가로 발견된 것으로 드러났다. GS리테일 관계자는 "(GS25 개인정보 유출 이후)운영 중인 모든 인터넷 사이트로 범위를 확대해 최근 1년간의 기록을 추가 분석한 결과, 홈쇼핑 웹사이트에서도 동일 수법에 기반한 개인정보 유출 정황을 확인했다"고 말했다.

지난달 GS리테일은 GS25 웹사이트 해킹 공격으로 지난 12월 27일부터 1월 4일 사이 총 9만여 명의 개인정보가 유출됐다고 밝힌 바 있다. 유출된 것으로 추정되는 개인 정보는 이름, 성별, 생년월일, 연락처, 주소, 아이디, 이메일 총 7개 항목으로, 당시 GS리테일은 해킹 사실을 파악해 해킹을 시도한 인터넷 주소(IP)를 차단하는 조치를 취했다고 밝혔다.

이번 GS샵 개인정보 유출 역시 지난 GS25 웹사이트 해킹 공격 때와 같은 '크리덴셜 스터핑' 수법으로 발생한 것으로 드러났다. '크리덴셜 스터핑'은 여러 경로로 수집한 계정과 비밀 정보 등을 무작위로 대입해 로그인한 후 개인정보를 훔치는 해킹 수법을 뜻한다.

GS리테일은 해당 사실 인지 후 인터넷 주소(IP)와 공격 패턴을 즉시 차단하고, 홈쇼핑 웹사이트 계정에 로그인할 수 없도록 잠금 처리했다고 설명했다. 또, 로그인 시 진행하는 본인 확인 절차를 강화하는 동시에 해당 고객에게 비밀번호 변경을 권고하는 안내 메시지를 발송했다.

GS리테일은 최고 경영진들이 참여하는 정보보호 대책 위원회를 발족해 이번 사고를 수습한다는 방침이다. GS리테일 관계자는 "정보 보호 투자 확대, 정보 보호 최신 기술 도입 및 시스템 고도화, 보안 정책 강화, 보안 전문 인력 강화 등 종합적인 대응 방안을 철저히 마련할 것"이라고 전했다.