"주소·핸드폰번호·이름 털렸다" CU편의점 택배, 개인정보 유출 사고

"수하인 정보는 포함 안돼"
지난 4일 비인가 외부 침입

BGF네트웍스의 개인정보 유출 공지. BGF네트웍스 홈페이지 캡처

CU편의점 택배를 운영하는 BGF 네트웍스가 개인정보 유출 사실을 확인했다며 사과했다.

5일 BGF 네트웍스에 따르면 지난 4일 해커의 공격으로 CU편의점 택배 관련 개인정보가 유출됐다. 유출된 항목은 아이디와 비밀번호, 이름, 생년월일, 성별, 주소, 이메일, 핸드폰 번호 등으로 전해졌다. 유출된 개인정보는 온라인 회원 고객에 대한 정보에 한하고, 발송 시 입력한 수하인 등 제 3자의 정보는 포함되지 않았다.

BGF 네트웍스는 CU POST 홈페이지를 통해 "머리 숙여 깊이 사과드린다"며 지난 4일 오후 3시 30분께 신원 미상의 해커가 시스템에 비인가 접근해 개인정보를 유출한 정황을 확인했으며, 인지 즉시 공격 IP를 차단하고 보완 조치를 완료했다고 설명했다.

이어 침해사고 대응팀을 가동하는 등 보완 정책 재정비에 들어갔으며, 개인정보보호위원회와 한국인터넷진흥원(KISA) 등 관계기관에도 신고를 마친 상태라고 밝혔다.

택배 서비스 특성상 이용자의 자택 주소와 휴대전화 번호가 고스란히 노출된 만큼, 향후 스미싱이나 보이스피싱 등 추가적인 금융 사기에 악용될 가능성이 높을 것으로 보인다. BGF네트웍스는 "비밀번호는 암호화돼있어 안전하지만, 타 사이트와 동일한 비밀번호를 사용하는 경우 안전을 위해 비밀번호를 변경해달라"고 적었다.

최근 개인정보 유출 사고가 반복되고 있다. 불과 이틀 전 발생한 온라인동영상서비스(OTT) 플랫폼 티빙의 대규모 해킹 사건과 이번 CU편의점 택배 개인정보 유출 사고가 유사한 패턴을 보이고 있다.

앞서 티빙은 지난 2일 외부의 비인가 접근으로 개인정보가 저장된 데이터베이스(DB)에 해커가 접속했으며 실제 개인정보 파일이 외부로 전송된 정황을 확인했다고 밝혔다. 티빙에서 해킹된 개인정보는, 아이디, 이름, 생년월일, 성별, 휴대전화 번호, 이메일, 비밀번호뿐만 아니라 주민등록번호 대체 식별 수단인 연계정보(CI), 중복가입 확인정보(DI), 미디어 결제 환불에 사용되는 환불 계좌번호 등으로 알려졌다.

티빙은 지난 3일 오전 2시께 개인정보 유출 신고를 접수하고 즉각 조사에 착수했다. 과학기술정보통신부는 티빙의 유출 건을 대규모 정보 유출 및 추가 피해 발생 가능성이 매우 높은 '중대한 침해사고'로 규정하고, 민관합동조사단을 구성해 전방위적인 사고 원인 규명에 나선 상태다. 개인정보위 역시 자료 제출 요구와 현장 조사를 병행하며 구체적인 유출 경위와 피해 규모, 그리고 개인정보 보호법상의 안전조치 의무 준수 여부를 조사할 방침이다.

이소진 기자 adsurdism@asiae.co.kr