[디지털데일리 홍하나기자] 홈플러스 온라인몰 고객 약 5만 명의 개인정보가 유출됐다. 해커는 제3의 사이트에서 확보한 이용자들의 아이디와 비밀번호로 홈플러스 홈페이지에 로그인을 시도했다. 이 중 들어맞는 계정 5만개를 통해 약 400만원 어치의 포인트를 탈취했다.

언론 보도가 쏟아지자 홈플러스는 자사의 고객 개인정보 유출이 아니라고 강하게 반박했다. 홈플러스 홈페이지가 해킹 당한 것이 아니라는 것. 홈플러스는 억울함을 토로하고 있다. 현재 진상파악을 위해 방송통신위원회와 한국인터넷진흥이 조사에 착수한 상황.

이번 사고의 책임이 어디에 있는지 아직 모른다.

그렇다고 홈플러스의 잘못이 아예 없는 것도 아니다. 한 의원실이 OK캐시백 측으로부터 확인한 바에 따르면, 약 5만명의 아이디에 한 명의 카드가 등록됐다. 1년 사이 약 5만명의 포인트가 다른 곳으로 새고 있었던 것. 홈플러스는 사실상 1년간 이 수상한 행적을 파악하지 못했다.

책임은 누구에게 있을까. 관건은 해커의 IP다.

보안 업계에서는 이번 사건의 핵심으로 ‘해커가 홈플러스 로그인에 사용한 IP가 동일한지’ 주목해야 한다고 봤다. 구글이나 페이스북은 평소와 다른 IP나 디바이스로 로그인할 경우 부정 로그인으로 감지한다. IP기반의 로그인 감지는 웹사이트의 기본 보안 조치다. 만약 동일 IP 기반의 로그인 시도가 발견되면 홈플러스는 책임에서 자유로울 수 없을 것으로 보인다.

이번 사건은 전형적인 ‘크리덴셜 스터핑’ 공격 방식이다. 크리덴셜 스터핑은 다크웹 등을 통해 확보한 계정 정보를 여러 사이트에 대입해 공격하는 방식이다. 하나의 아이디와 비밀번호를 여러 사이트에 사용할 경우 뚫린다. 일각에서는 홈플러스 외에도 동종 업계의 타사이트 개인정보 유출 가능성도 의심하고 있다.

확신할 수 있는 점은, 해커는 우리가 상상하는 것보다 훨씬 많은 개인정보를 손에 쥐고 있다는 것이다. 이번 사건에서 해커의 성공률이 절반이었다면, 보유한 계정정보 수는 10만 건. 확률이 더 낮았다면 최소 몇 십만개에서 최대 몇 백만개의 계정정보를 소유하고 있다는 얘기다.

보안에 대한 필요성은 항상 사고가 터지면 강조된다. 기업들도 보안사고가 난 뒤에야 보안을 강화한다. “보안수준을 높여야 한다”는 이야기가 지겨울 수 있다. 하지만 해가 갈수록 해커들의 해킹수법은 고도화되고 있는 것이 현실이다. 앞으로도 해커들은 예상치 못한 방법으로 기업과 이용자들을 기만할 것이다.

이때마다 책임소재가 논란이 된다. 예상하지 못했던 사이버 공격을 막지 못한 기업의 잘못일까, 여러 사이트에서 같은 아이디와 비밀번호를 사용하는 이용자들의 잘못일까. 아니면 해커를 직접 잡아낼 수나 있을까.

<홍하나 기자>hhn0626@ddaily.co.kr