[디지털데일리 홍하나기자] 홈플러스의 온라인몰 고객 4만9000명의 개인정보가 유출됐다. 피해금액은 약 400여만원. 일각에서는 홈플러스가 1년간 이 사실을 인지하지 못한데다, 이를 제대로 알리지 않고 있다는 지적이 나오고 있다.

26일 업계에 따르면, 지난 2017년 10월 17일부터 2018년 10월 1일까지 1년에 걸쳐 홈플러스 고객 4만9007명의 개인정보가 유출됐다. 홈플러스는 2019년 9월 20일, 한국인터넷진흥원(KISA)에 개인정보 유출 사실을 신고했다.

과학기술정보방송통신위원회 변재일 의원(더불어민주당)에 따르면, 홈플러스는 9월 4일 OK캐시백 적립 이상 민원 접수를 받았다. 이후 19일, 홈플러스는 OK캐시백으로부터 1명의 카드가 다수의 ID에 등록된 것을 확인했다. 이 숫자가 4만9007명.

논란이 되고 있는 것은 홈플러스가 개인정보 유출 사실을 은폐하려 했다는 것이다. 변재일 의원은 “홈플러스는 개인정보 유출 사실을 인지한 지 6일이 지난 지금까지 이용자에게 이 사실을 알리지 않고 있다”며 정보통신망법 위반에 해당한다고 지적했다.

반면 홈플러스 측은 “피해 고객에게는 KISA 신고 당일인 지난 20일 오후 6시부터 패스워드를 즉시 초기화한 후, 새로운 비밀번호를 사용하도록 이메일·문자메시지로 개별 안내했다”고 반박했다.

또 다른 문제는 홈플러스가 장기간 동안 이뤄진 개인정보 유출을 인지하지 못했다는 것. 변재일 의원은 “홈플러스는 4만9000개 이상의 아이디에 무단 로그인과 재산 탈취가 발생했음에도 불구하고, 고객의 민원이 발생하기 전까지 1년 동안 이 사건을 인지하지 못하고 있었다”며 “홈플러스는 온라인 쇼핑몰의 비정상적인 로그인, 고객의 재산(포인트) 관리를 소홀히 한 책임에서 자유로울 수 없다”고 비난했다.

이에 대해 홈플러스 측은 “해커가 제3의 사이트에서 사용자들의 타사 아이디, 비밀번호를 가져와 무작위 로그인을 시도했다”며 “당사의 고객정보가 해커에게 직접 유출되지는 않았다”고 반박했다.

하지만 아직까지 개인정보 유출 유무에 대해서는 단정지을 수 없는 상황이다. 변 의원은 “조사가 완료되지 않은 상황에서 홈플러스가 이 사건을 고객 정보 유출이 아니라고 단정지을 수 없다”고 전했다.

아울러 변 의원은 홈플러스가 26일 오후 3시 기준으로 홈페이지에 개인정보침해사고 조사에 대해 게재하지 않고 있다고 지적했다. 이 또한 개인정보보호위반이라는 것.

개인정보보호법 제34조와 시행령 제40조에 따르면, 1천명 이상의 정보주체에 관한 개인정보가 유출된 경우 인터넷 홈페이지에 유출된 개인정보의 항목, 유출 시점 및 경위, 대응조치 및 피해구제 절차, 담당부서 및 연락처를 7일 이상 게재해야 한다.

한편, 현재 방송통신위원회와 KISA는 홈플러스 개인정보 유출 사건 조사에 착수했다.

<홍하나 기자>hhn0626@ddaily.co.kr