BGF네트웍스 웹 시스템 결함 노출스미싱·피싱 등 2차 범죄 가능성 경고사후 대응 넘어 보안 체계 고도화 목소리
);)
GS리테일에 이어 CU 편의점 택배 서비스를 운영하는 BGF네트웍스에서도 개인정보 유출 사고가 발생하면서 편의점 업계의 보안 관리 역량이 시험대에 올랐다. 특히 GS리테일이 외부에서 유출된 계정 정보를 활용한 로그인 공격에 노출됐던 것과 달리, CU는 자체 시스템 취약점이 공격 경로로 활용된 것으로 알려지면서 보안 투자 확대 필요성이 커지고 있다.
8일 유통업계에 따르면 이번 사고는 해커가 BGF네트웍스 택배 시스템의 웹 취약점을 악용해 내부망에 비인가 접근한 것으로 파악됐다. 회사 측은 시스템 내부의 기술적 결함을 이용한 침입 정황을 확인하고 관계기관과 함께 사고 경위를 조사하고 있다.
이는 지난해 GS리테일 개인정보 유출 사고와는 성격이 다르다. GS리테일 사례는 해커가 다른 사이트에서 확보한 계정 정보를 무차별 대입하는 '크리덴셜 스터핑(Credential Stuffing)' 방식이었다. 반면 CU 택배 서비스는 자체 시스템의 보안 취약점이 직접적인 공격 통로로 활용됐다는 점에서 보다 근본적인 보안 관리 문제가 드러났다는 평가가 나온다.
유출 정보의 위험도 역시 적지 않다. CU 택배 서비스에서는 아이디와 암호화된 비밀번호, 성명, 생년월일, 성별, 이메일, 휴대전화 번호와 함께 주소 정보가 유출된 것으로 알려졌다. 여기에 온라인 본인확인 과정에서 생성되는 연계정보(CI)까지 포함된 것으로 전해졌다.
보안업계에서는 주소와 연락처, CI 등이 결합될 경우 택배 배송 안내나 미수령 화물 보관 등을 사칭한 스미싱·피싱 범죄에 악용될 가능성이 있다고 보고 있다. 특히 CI는 주민등록번호를 대체하는 온라인 식별 정보로 활용되는 만큼 추가 유출 정보와 결합될 경우 명의 도용 등 2차 피해 우려도 제기된다.
이번 사고는 편의점 업계의 사업 구조 변화와도 맞물려 있다는 분석이 나온다. 편의점은 더 이상 단순 소매 채널이 아니다. GS25의 '우리동네GS', CU의 '포켓CU', 세븐일레븐 앱 등 멤버십 플랫폼을 기반으로 택배, 간편결제, 퀵커머스 서비스를 확대하면서 보유 개인정보 규모도 급격히 늘어나고 있다.
업계에서는 편의점이 사실상 생활 밀착형 플랫폼으로 진화한 만큼 개인정보 역시 핵심 자산으로 관리해야 한다는 지적이 나온다. 회원 수 확대와 신규 서비스 경쟁에 집중하는 사이 보안 투자가 상대적으로 뒤처질 경우 유사 사고가 반복될 수 있다는 것이다.
실제 이번 사고를 계기로 유통업계 전반에서는 웹 취약점 점검과 침해사고 대응 체계 고도화 등 보안 역량을 경영 리스크 차원에서 관리해야 한다는 목소리가 커지고 있다. 개인정보를 대규모로 보유한 유통 플랫폼이 늘어나는 만큼 단순한 사후 대응을 넘어 선제적인 보안 투자 확대가 불가피하다는 분석이다.
한편 BGF네트웍스는 사고 인지 직후 공격 IP를 차단하고 개인정보보호위원회와 한국인터넷진흥원(KISA)에 신고를 완료했다. 현재 침해사고 대응팀을 가동해 정확한 유출 규모와 경위를 조사하고 있다.
뉴스웨이 조효정 기자
queen@newsway.co.kr
저작권자 © 온라인 경제미디어 뉴스웨이 · 무단 전재 및 재배포 금지
);){kind=link}
댓글