해커, 판매 글 샘플에 회원정보 추정 개인정보 일부 공개하기도
브랜디 측, 아직 별다른 공지 없어...신속한 상황 파악과 고객 안내 필요
[보안뉴스 권 준 기자] 올해만 1,000억 원에 달하는 투자 유치에 성공하는 등 ‘유니콘’ 탄생 가능성에 기대가 커지고 있는 패션 커머스 플랫폼 ‘브랜디(BRANDI)’의 고객 데이터베이스(DB)의 해킹 가능성이 제기돼 충격을 던지고 있다.
▲딥웹에 올라온 ‘브랜디’ 고객 700만 명 개인정보 판매 글[자료=보안뉴스]
<보안뉴스> 확인 결과, 딥웹의 해킹포럼에 ‘브랜디’ 회원 7백만 명의 개인정보를 판매한다는 글이 올라온 것으로 드러났다. 올라온 게시글을 살펴보면 브랜디 홈페이지 주소와 함께 7백만 명의 사용자 정보를 판매한다는 제목과 함께 회원들로 추정되는 개인정보 일부를 샘플로 공개해 놓은 상황이다.
또한, 판매 글을 게시한 해커는 자신이 탈취한 ‘브랜디’ 개인정보에는 회원 번호와 ID, 패스워드, 사진, 이메일 주소를 비롯해서 주문 정보와 날짜, 기기 정보 등이 포함돼 있다고 주장하고 있다.
해커가 샘플로 공개한 개인정보에는 네이버, 네이트, 다음 등 국내 대표 포털 사이트 메일 계정은 물론 구글 메일 계정도 포함돼 있었다. 자신들이 보유하고 있다고 주장한 개인정보가 실제 브랜디의 DB 서버를 해킹해 취득한 정보인지는 확실하지 않지만, 공개적으로 판매 글을 올린 만큼 실제 브랜디의 고객정보일 가능성이 매우 높다는 게 보안전문가의 지적이다.
▲브랜드 홈페이지에 게시된 개인정보처리방침 중 일부[자료=브랜드 홈페이지]
현재 브랜디가 개인정보처리방침에 의해 공개한 서비스 이용 시 수집정보에 의하면 회원 가입 시에는 아이디, 비밀번호, 이메일, 휴대폰번호가 필수, 생년월일이 선택 항목으로 되어 있다. 또한, 주문 시에는 수취인 정보(이름, 휴대폰, 주소), 주문자 정보(이름, 휴대폰, 이메일), 현금영수증 신청 시 현금영수증 정보 등 개인정보가 대거 포함돼 있는 만큼 현재 판매 중인 개인정보가 실제 브랜디의 고객정보가 맞다면 매우 심각한 추가 피해가 우려되는 상황이다.
그러나 브랜디 측은 이와 관련해서 아직까지 별도의 공지를 하지 않고 있는 상황이다. 고객정보로 추정되는 개인정보가 판매 중이라는 사실을 아예 모르고 있거나 해커와 협상 중일 가능성이 제기된다. 브랜디 측은 현재 상황을 최대한 신속하게 파악하고 난 후, 회원들에게 정확하게 알려서 추가 피해를 최소화해야 할 것으로 보인다.
한편, 브랜디는 2030 여성 전문 패션 앱인 ‘브랜디’와 남성 전문 패션 앱 ‘하이버’, 육아 앱 ‘마미’ 등을 운영하고 있는 유명 패션 커머스 플랫폼으로, 2016년 런칭 이후 연평균 200% 가까운 성장률을 기록하고 있는 것으로 알려졌다. 특히, 올해만 1,000억 원이 넘는 투자금을 유치한 성장 잠재력을 바탕으로 기업가치 1조 원 이상의 신생기업을 뜻하는 ‘유니콘’ 후보로서도 주목을 받고 있다.
이러한 가운데 터진 700만 명의 회원 개인정보 유출 의혹을 브랜디가 어떻게 처리하고 어떤 후속조치를 취하느냐가 향후 성장성과 신뢰성을 가늠하는 잣대가 될 것으로 보인다.
[권 준 기자(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>