[보안뉴스 김경애 기자] DIY 제품 분야 온라인쇼핑몰 문고리닷컴에서 684,993명 개인정보가 유출됐다. 이번 개인정보 유출사고는 애플뮤직의 개인정보 유출사고를 조사하던 중 발견된 것으로 알려졌다. 더욱이 지난 번 다이소 온라인 쇼핑몰에 이어 온라인 쇼핑몰에서 또 다시 개인정보 유출사고가 줄줄이 발생하면서 온라인 쇼핑몰의 개인정보보호에 경고등이 켜졌다.
▲개인정보 유출 공지 화면[이미지=문고리닷컴 사이트 팝업 공지사항]
특히, 이번 개인정보 유출사고는 온라인 쇼핑몰을 자동으로 만들어주는 솔루션을 통해 유출된 것으로 드러나 특정 솔루션을 동일하게 사용하는 또 다른 온라인 쇼핑몰이 타깃이 될 가능성이 높아졌다.
문고리닷컴에서 유출된 개인정보는 2017년 6월 14일 이전 휴면고객 아이디와 이메일 주소가, 2017년 8월 9일 아이디와 이메일, 연락처 등이다. 여기서 주목되는 점은 2017년 6월14일 이전 휴면고객 정보와 2017년 8월 9일 개인정보가 연달아 유출됨에 따라 두 번 해킹됐는지에 대해서도 관심이 모아지고 있다. 여기에 대해서는 관계당국이 조사중이다.
본지 취재결과 이번 개인정보 유출사고는 온라인 쇼핑몰을 자동으로 만들어주는 솔루션을 이용하는 고객사들의 정보가 유출된 것으로 파악됐다.
▲애플뮤직 개인정보 유출 공지 화면[이미지=애플뮤직]
이와 관련 애플뮤직은 지난 10일 141,697건의 개인정보 유출 사고에 대해 사과문을 공지했다. 유출된 개인정보 항목은 [아이디(ID), 암호화 된 비밀번호(P/W), 이메일(E-MAIL), 일반번호, 모바일번호] 총 5개 항목이다.
또한, 개인정보 유출 사고 원인에 대해 “고도몰 솔루션 기반의 시스템이 해커(신원 미상)의 ‘SQL injection’ 해킹(인젝션) 공격으로 개인정보가 침해됐다”고 밝혔다. 즉 특정 솔루션을 동일하게 사용하는 온라인 쇼핑몰이 타깃이 될 가능성이 높다는 얘기로, 애플뮤직과 문고리닷컴도 그 중 하나인 셈이다.
이와 관련 문고리닷컴 측은 “개인정보가 더 이상 유통되거나 악용되지 않도록 관련 부처와 협력해 조치를 취하고 있다”며 “정보 유출 관련 사실에 대해서는 개별 메일을 사고 인지 시점으로부터 24시간 이내에 발송하고 있다”고 공지했다.
현재 문고리닷컴에서 수집하는 개인정보 항목은 일반회원의 경우 아이디, 비밀번호, 이름, 닉네임, 이메일, 연락처, 만 14세 이상 여부, 주소(주소는 상품구매 정보 입력시 자동 수집)를 필수 등록으로 수집하고 있으며, 사업자 구매회원의 경우 필수 정보로 아이디, 비밀번호, 업체명, 닉네임, 이메일, 연락처, 대표자명, 사업자번호, 담당자명을 수집하고 있다.
또한, 상품 구매자의 경우 배송상품의 수취인 정보로 이름, 주소, 전화번호를 수집하며, 비회원 주문 상품 구매자는 주문자 정보(이름, 주소, 전화번호)와 수취인 정보(이름, 주소, 전화번호)를 수집하고 있다.
서비스 이용과정에서 자동으로 생성되는 정보로는 서비스 이용기록, IP, 쿠키, 방문일시, 오늘 본 상품, 구매정보, 장바구니, 위시리스트를, 환불요청시 환불계좌정보(은행명, 계좌번호, 예금주)를, 이벤트 진행 시에는 소셜미디어 계정, 이메일 등의 정보를 수집하고 있다.
이번 개인정보 유출사고와 관련해 문고리닷컴 측은 “정보 유출 사고의 재발 방지를 위해 관련 업무 과정의 재검토와 담당자들의 개인정보보호 업무의 교육 및 개인정보 내부관리 계획을 다시 수립하고 있다”며 “2017년 12월 10일부터 안정적인 솔루션과 서버 보안 서비스를 운영하고 있다”고 밝혔다.
한국인터넷진흥원 개인정보보호센터 김주영 센터장은 “온라인 쇼핑몰의 경우 이용자들이 많이 이용하고, 금전적인 거래도 이뤄지기 때문에 보호조치를 강화하는 게 기업의 의무”라며 “유출 사고를 인지했을 경우, 피해 확산 방지를 위해 지체 없이 이용자에게 통지하고, 관계기관에 신고하는 등 기업의 적극적인 노력이 필요하다”고 당부했다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>