개인통관고유번호까지 털렸다…GS샵, 고객 개인정보 158만건 유출

편의점 개인정보 유출 한달만

GS리테일의 홈쇼핑 업체 GS샵에서 158만 건의 고객 개인정보가 유출됐다.

27일 GS리테일은 “2024년 6월 21일부터 올해 2월 13일 사이 GS홈쇼핑 웹사이트에서 개인정보 유출 정황을 확인했다”며 “해당 고객들에게 금일 통지문을 발송했다”고 밝혔다. 유출된 것으로 추정되는 개인정보는 이름과 성별, 생년월일, 연락처, 주소, 아이디, 이메일, 기혼여부, 결혼기념일, 개인통관고유번호 등 총 10개 항목이다.



이는 지난달 편의점 GS25를 통해 GS리테일 웹사이트가 해킹 공격을 받아 고객 9만 명의 개인정보가 유출된 지 한 달여 만이다. GS리테일은 지난해 12월 27일부터 1월 4일까지 해킹 공격을 받아 이름, 성별, 생년월일, 연락처, 주소, 아이디, 이메일 등 7개 항목의 개인정보가 유출돼 공식 사과한 바 있다. 이후 모든 운영 사이트의 로그인 기록을 1년치로 확장해 점검한 결과 이번 GS샵 개인정보 유출 정황을 추가로 확인했다는 설명이다.

이번 개인정보 유출 역시 지난번 해킹과 유사한 과정으로 이뤄진 것으로 알려졌다. GS리테일은 여러 경로로 수집한 계정과 비밀정보 등을 무작위로 대입해 로그인한 후 개인정보를 훔치는 ‘크리덴셜 스터핑(Credential Stuffing)’ 공격을 받았다고 설명했다.