GS리테일은 지난달 27일부터 지난 4일까지 이뤄진 웹사이트 해킹 공격으로 9만여명의 고객 개인정보가 유출됐다고 6일 밝혔다. GS리테일은 GS25·GS샵·GS더프레시 등을 운영 중이다.
현재 유출된 것으로 추정되는 개인정보는 이름, 성별, 생년월일, 연락처, 주소, 아이디, 이메일 등 7개 항목이다.
GS리테일은 해킹 공격을 인지한 후 해킹을 시도하는 IP를 차단하고 고객 계정에 로그인할 수 없도록 잠금 처리했다고 밝혔다. 또 개인정보가 표시된 페이지를 확인할 수 없도록 임시로 폐쇄했다고 설명했다.
GS리테일에 따르면 이번 개인정보 유출에는 크리덴셜 스터핑 기법이 사용됐다. 크리덴셜 스터핑은 수집한 계정과 비밀번호 등을 특정 사이트에 방문해 무작위로 대입해 로그인한 뒤 개인정보를 훔치는 수법이다. 사용자들이 동일한 계정 정보를 다양한 웹사이트에 활용한다는 점을 악용하는 가장 기본적인 해킹 기법이다.
GS리테일은 2차 피해를 막기 위해 비밀번호를 변경하고, 개인정보를 악용한 것으로 의심되는 전화나 이메일을 받을 경우 신고해달라고 당부했다.
GS리테일 관계자는 “현재 피해를 본 고객들에게 피해 사실을 알리고 있다”며 “해킹을 확인한 후 한국인터넷진흥원(KISA)에 신고하는 등 절차를 진행 중”이라고 설명했다.