티스토리 뷰
목차
최근 GS리테일의 홈쇼핑 웹사이트 GS샵에서 158만 건의 고객 개인정보가 유출되는 사건이 발생했습니다.
이는 지난달 GS25 웹사이트에서 9만여 명의 개인정보 유출이 확인된 지 한 달 만에 추가로 밝혀진 사고로, 소비자들에게 큰 충격을 주고 있습니다.
이번 사고의 원인과 대응 방안을 분석하고, 개인정보 보호를 위해 실천할 수 있는 대책을 살펴보겠습니다.
GS리테일 개인정보 유출 사건 개요
유출된 개인정보 항목
- 이름, 성별, 생년월일
- 연락처, 주소, 아이디, 이메일
- 기혼 여부, 결혼기념일, 개인통관고유부호
다행히 멤버십 포인트 정보나 결제 수단과 같은 금융 정보는 유출되지 않은 것으로 확인되었습니다.
해킹 기간 및 기업 대응
해킹 공격은 지난해 6월 21일부터 올해 2월 13일까지 약 8개월 동안 지속되었습니다.
GS리테일 측은 이를 감지한 즉시 관련 IP 차단, 로그인 잠금 처리 등의 조치를 취했지만, 소비자들의 불안감은 커지고 있습니다.
해킹 방식: 크리덴셜 스터핑(Credential Stuffing) 공격
이번 해킹 사건은 '크리덴셜 스터핑(Credential Stuffing)' 기법이 사용된 것으로 밝혀졌습니다.
이 방법은 해커가 여러 경로에서 확보한 아이디와 비밀번호를 무작위로 입력하여 로그인한 뒤 개인정보를 탈취하는 방식입니다.
크리덴셜 스터핑 공격의 특징
- 동일한 비밀번호 사용이 주요 원인
- 자동화된 프로그램을 이용해 다수의 계정 공격
- 비밀번호 유출이 없더라도 해커가 기존 데이터를 이용해 접근 가능
개인정보 유출을 방지하는 보안 대책
- 비밀번호 주기적 변경 : 같은 비밀번호를 여러 사이트에서 사용하지 않도록 주의해야 합니다.
- 이중 인증 활성화 : 계정 로그인 시 추가 인증 절차를 설정하면 보안이 강화됩니다.
- 비밀번호 관리 프로그램 사용 : 강력한 비밀번호를 생성하고 안전하게 관리할 수 있습니다.
GS리테일의 대응 조치
- 해킹 시도 IP 및 공격 패턴 차단
- 로그인 시 본인 확인 절차 강화
- 고객 대상 비밀번호 변경 안내 발송
- 정보 보호 투자 확대 및 최신 보안 기술 도입
- 보안 정책 강화 및 전문 인력 확충
GS리테일은 이번 사건을 계기로 정보보호 대책 위원회를 발족하여 사고 수습과 재발 방지 대책을 마련하고 있으며, 유사한 해킹 사고의 재발을 방지하기 위해 노력하고 있습니다.
개인정보 보호를 위한 보안 수칙
이번 사건을 통해 개인정보 보호의 중요성이 다시 한번 강조되었습니다.
개인 차원에서 보안을 강화할 수 있는 몇 가지 실천 방법을 정리하면 다음과 같습니다.
개인이 실천할 수 있는 보안 대책
- 비밀번호를 강력하게 설정하고 정기적으로 변경하기
- 다양한 계정에서 동일한 비밀번호 사용하지 않기
- 공식 웹사이트나 애플리케이션을 통해서만 로그인하기
- 로그인 시 이중 인증을 활성화하여 보안 강화하기
- 의심스러운 이메일이나 링크는 클릭하지 않기
이러한 기본적인 보안 수칙을 준수하면 해킹 위험을 크게 줄일 수 있습니다.
마무리 - 개인정보 보호는 기업과 개인의 공동 책임
GS리테일의 개인정보 유출 사고는 기업과 사용자 모두에게 큰 경각심을 주는 사건입니다.
기업이 해야 할 일
- 최신 보안 기술 도입
- 보안 정책 강화 및 정기적인 점검
- 고객 대상 보안 교육 강화
개인이 해야 할 일
- 비밀번호 관리 및 이중 인증 설정
- 의심스러운 접근 차단 및 보안 점검
- 신뢰할 수 없는 링크 및 이메일 주의
앞으로 GS리테일이 어떤 후속 조치를 취할지, 그리고 유사한 사고가 재발하지 않도록 어떤 보안 조치를 강화할지 지속적인 관심이 필요합니다.