홈플러스 "해킹 사실 맞으나 고객정보 유출·은폐 아냐"

홈플러스의 온라인몰 고객 4만9000명의 개인정보가 1년에 걸쳐 유출된 사실이 드러나 방송통신위원회와 한국인터넷진흥원(KISA)이 조사에 착수한 것으로 26일 밝혀졌다. 이에 홈플러스 측은 “자사 고객 정보가 유출된 것이 아니며 이를 은폐하지 않았다”고 해명했다.

홈플러스는 이날 보도자료를 통해 “미상의 특정인(범죄자)이 다른 사이트에서 불법 수집한 불특정 다수의 아이디와 비밀번호를 홈플러스 온라인쇼핑몰에서 무작위로 입력해 무단 로그인을 시도한 건”이라고 밝혔다.

로그인에 성공한 계정에 범죄자 본인의 OK캐쉬백 카드번호를 입력해 포인트를 절취했다는 것이 홈플러스의 주장이다. 이는 지난 19일 밤 9시께 한 고객이 자신의 OK캐쉬백이 사라진 사실을 고객센터 문의하면서 확인됐다.

홈플러스는 OK캐쉬백에 확인결과, 10여개의 OK캐쉬백 카드 번호가 다수의 ID에 등록돼 있고 무단 로그인한 사실을 확인해 20일 오후 3시 KISA에 신고했다. 20일 오후 6시부터 무단 접속돼 OK캐쉬백 번호가 바뀐 고객 4만9000명에게 이를 알리고 비밀번호 변경을 이메일과 문자메시지로 안내했다고 밝혔다. OK캐쉬백 포인트 부정적립 피해액은 총 400여만원 수준이라고 회사는 덧붙였다.

반면 국회 과학기술정보방송통신위원회 소속 변재일 더불어민주당 의원은 이날 방송통신위원회로 부터 제출받은 자료를 인용해 “미상인이 홈플러스 온라인몰에 타인의 계정정보(아이디·비밀번호)로 접속했다”고 밝혔다. 해킹 목적은 OK캐쉬백 포인트 탈취로 알려졌다. 접속한 계정 소유자는 4만9000여명이다.

변 의원은 이어 “홈플러스가 개인정보 유출사실을 인지한지 6일이 지난 현재까지 이용자에게 이를 알리지 않고 있으며 이는 현행법 위반”이라고 주장했다.

하지만 홈플러스는 이는 사실과 다르다고 설명했다.

홈플러스는 “자사는 고객비밀번호를 암호화하고 있어 유출이 불가능하며 즉각 비밀번호를 변경하면 고객피해가 발생하지 않는다”며 “부정 적립에 사용된 OK캐쉬백 카드 등록을 삭제하고 해당 카드의 적립 및 사용이 불가하도록 조치했다. 동일한 카드가 다수 등록될 경우 이상 행위로 간주하고 담당자에게 즉시 통보되도록 관제 운영 기준을 강화했다”고 전했다.