변재일 더불어민주당 의원이 방송통신위원회(방통위)로부터 제출받은 자료에 따르면 미상의 특정인이 홈플러스 온라인몰에 타인의 계정정보로 접속한 것으로 나타났다. 해킹 목적은 포인트 탈취로 알려졌으며 유출된 개인정보는 4만 9000건에 이르는 것으로 파악됐다.
서울 강서구에 위치한 홈플러스 본사. 사진=최준필 기자
사건 발생은 2017년 10월 17일부터 2018년 10월 1일까지 약 1년에 걸쳐 진행됐다. 홈플러스는 지난 9월 20일 고객이 포인트 미적립 민원을 제기하자 뒤늦게 개인정보 유출 피해를 인지하게 됐다고 변 의원 측은 설명했다.
홈플러스는 지난 20일 방송통신위원회(방통위)에 사고 내용을 알렸다. 현행법에 따르면 서비스 제공자가 개인정보의 유출 사실을 인지하면 지체 없이 모든 사항을 이용자에게 알리고, 방통위 또는 한국인터넷진흥원에 해당 내용을 신고하도록 돼있다. 하지만 홈플러스는 이용자들에게는 이 사실을 알리지 않아 정보통신망법 위반에 해당한다고 변 의원은 주장했다.
변 의원은 “홈플러스가 개인정보 유출을 인지한 지 6일이 지나도록 고객에게 피해사실을 알리지 않고 있는 것은 3000만 원 이하의 과태료를 부과할 수 있는 현행법 위반 사항”이라고 지적했다.
이에 홈플러스는 “고객정보가 유출된 것이 아니며 은폐한 적이 없다”며 “피해 고객에게는 신고 당일 비밀번호를 초기화하라고 이메일과 문자메시지로 안내했다”고 해명했다. 하지만 변 의원은 “26일 오후 3시 기준으로 홈페이지에 개인정보침해사고 조사에 대해 게재하지 않고 있는데 이 역시 개인정보보호법 위반”이라며 “지금까지 확인된 피해 고객에게만 이메일과 문자메시지로 피해사실을 알렸을 뿐 개인정보보호법에서 정한 통지 의무를 다하지 않았다”고 전했다.
박형민 기자 godyo@ilyo.co.kr
