[ⓒGS리테일]

[디지털데일리 김보민기자] GS리테일에서 웹사이트 해킹 공격으로 고객 개인정보 일부가 유출되는 사고가 발생했다. 해킹 사실을 인지한 직후 조치를 취했다는 입장이지만, 2차 피해에 대한 우려 또한 제기되고 있다.

6일 GS리테일은 피해 고객을 대상으로 "2024년 12월27일부터 2025년 1월4일 사이 당시 홈페이지에 대한 해킹 공격으로 인해 본 메시지를 수신 받은 고객 개인정보 일부가 유출된 것으로 추정되는 정황을 확인했다"며 "예상하지 못한 일이 발생한 것에 진심으로 사과 말씀드린다"는 내용의 안내 문자를 발송했다.

유출된 것으로 추정되는 개인정보는 이름, 성별, 생년월일, 연락처, 주소, 아이디, 이메일 등 7개 항목이다. GS리테일은 고객이 기존에 입력한 정보에 따라 유출 여부가 다를 수 있다고 설명했다.

GS리테일 측은 유출 및 피해 규모가 9만건 수준이며, '크리덴셜 스터핑' 기법이 사용됐다고 부연했다. 크리덴셜 스터핑은 수집한 계정과 비밀번호 등을 특정 사이트에 방문해 무작위로 대입해 로그인한 뒤 개인정보를 훔치는 수법을 뜻한다. 사용자들이 동일한 계정 정보를 다양한 웹사이트에 활용한다는 점을 악용하는 가장 기본적인 해킹 기법이다.

GS리테일은 "해킹 사실을 인지한 뒤 관련 인터넷프로토콜(IP)와 공격 패턴을 차단하고, 고객 계정에 로그인 할 수 없도록 잠금 처리를 했다"고 밝혔다. 이어 "개인정보가 표시된 페이지를 확인할 수 없도록 임시 폐쇄조치를 했다"고 강조했다.

한편 해킹 소식이 나온 직후 온라인 커뮤니티에서는 2차 피해를 우려하는 목소리가 나오고 있다. 문자를 받았다는 일부 고객은 "혹시 몰라 탈퇴했다", "문자는 못 받았는데, 불안해서 비밀번호를 바꿔야겠다"는 반응을 보였다.

GS리테일은 "2차 피해를 방지하기 위해 비밀번호를 변경해 주시기를 바란다"며 "개인정보 악용으로 의심되는 전화, 메일 등을 받거나 기타 궁금한 사항은 담당 부서로 연락 바란다"고 공지했다.