위메프, 고객 정보유출 사고 재발

위메프는 16일 오전 자료를 내고 “지난 14일 관리자 페이지를 업데이트하는 과정에서 전산상의 오류로 인해, (이날) 오후 12시 52분부터 18시 30분까지 약 5시간 30분 가량 일부 고객들이 이용하지 않은 위메프 포인트를 현금으로 환불 받은 내역이 노출되는 오류가 발생했다”라고 설명했다. 위메프의 고객 정보 유출 사과문. 사진=위메프 홈페이지 캡처
위메프는 16일 오전 자료를 내고 “지난 14일 관리자 페이지를 업데이트하는 과정에서 전산상의 오류로 인해, (이날) 오후 12시 52분부터 18시 30분까지 약 5시간 30분 가량 일부 고객들이 이용하지 않은 위메프 포인트를 현금으로 환불 받은 내역이 노출되는 오류가 발생했다”라고 설명했다. 위메프의 고객 정보 유출 사과문. 사진=위메프 홈페이지 캡처

소설커머스 업체인 위메프에서 어처구니없는 고객 정보 유출 사고가 발생했다. 지난 3월 숙박예약 업체 여기어때가 해커들에 의해 91만명의 숙박예약정보를 포함해 총 99만명의 개인정보 341만건이 유출돼 사회적 경각심이 증가한지 3개월 만에 재발한 것이어서 충격을 주고 있다.

위메프는 16일 오전 자료를 내고 “지난 14일 관리자 페이지를 업데이트하는 과정에서 전산상의 오류로 인해, (이날) 오후 12시 52분부터 18시 30분까지 약 5시간 30분 가량 일부 고객들이 이용하지 않은 위메프 포인트를 현금으로 환불 받은 내역이 노출되는 오류가 발생했다”라고 설명했다.

이 업체는 “해당 오류는 14일 18시 30분 모두 조치 완료했으며, 추가 확인 결과 고객들의 금융 거래 피해가 있을만한 정보 노출이나 피해는 없었다”고 해명했다.

하지만 이는 위메프 측의 일방적인 주장에 불과하다.

위메프가 밝힌 노출 정보는 개인별 이름과 환불신청일, 금액 뿐만 아니라 악용될 소지가 큰 은행명과 계좌번호 내역 등이 고스란히 담겨 있었기 때문이다.

위메프는 에둘러 “3500여개 페이지(페이지당 10개 목록) 중 실제 노출된 페이지는 42개로 확인됐다”는 말도 덧붙였다. 3만5000건의 환불요청 정보 중 25명 고객의 420건 정보만 외부인이 확인했다는 것이다.

위메프는 16일 오전 자료를 내고 “지난 14일 관리자 페이지를 업데이트하는 과정에서 전산상의 오류로 인해, (이날) 오후 12시 52분부터 18시 30분까지 약 5시간 30분 가량 일부 고객들이 이용하지 않은 위메프 포인트를 현금으로 환불 받은 내역이 노출되는 오류가 발생했다”라고 설명했다. 위메프 박은상 대표. 사진=넥스트데일리 DB
위메프는 16일 오전 자료를 내고 “지난 14일 관리자 페이지를 업데이트하는 과정에서 전산상의 오류로 인해, (이날) 오후 12시 52분부터 18시 30분까지 약 5시간 30분 가량 일부 고객들이 이용하지 않은 위메프 포인트를 현금으로 환불 받은 내역이 노출되는 오류가 발생했다”라고 설명했다. 위메프 박은상 대표. 사진=넥스트데일리 DB

이번 위메프 고객 정부 유출 사건은 여기어때의 정보유출 사고와는 다른 경우다. 여기어때의 경우 초보적인 해킹 수법이기는 하지만 해당 기업으로 돈을 뜯어내기 위해 의도적으로 접근해 벌어진 반면 위메프는 작업자의 실수로 사건이 발생했기 때문이다.

결국 프로그램 업데이트 후 이상유무를 확인하는 수칙마저 지키지 않았던 것이다. 게다가 위메프는 고객이 항의하기 전까지 해당 사실에 대해 전혀 알지 못하는 미숙함을 보였다.

위메프의 늦장 대응도 도마 위에 오르고 있다. 개인정보가 유출되면 24시간 안에 관계 기관에 신고를 해야 하고, 피해자들에게도 내용을 알려줘야 하는데 이를 지키지 않고 하루가 지난 다음에서야 한국인터넷진흥원(KISA)에 신고했다. 이는 최대 3000만원의 과태료 부과 사항이다.

위메프의 고객 정보 유출 사고는 이번이 처음이 아니다. 지난 2014년 아이디 도용으로 300여명의 회원의 포인트 1100만원가량을 도난당했다.

위메프는 이번 정보유출과 관련해 뒤늦게 16일 홈페이지에 ‘고객의 소중한 정보를 철저하게 관리하지 못해 불편을 끼쳐드린 점에 대해 진심으로 사과 드립니다’며 사과문을 게재했지만 고객들로부터 사후약방문에 불과하다며 지탄을 받고 있다.

한편 온라인마켓인 인터파크는 지난해 5월 해킹을 당해 1000만명이 넘는 고객정보가 유출됐다. 유출된 정보에는 회원 이름, 아이디(ID), 이메일 주소, 집 주소, 전화번호 등이 포함됐다.

이처럼 온라인 업체들이 자의건타의건 잇따라 소중한 고객의 정보를 소홀히 다뤄 문제를 일으키고 있는 것과 관련해 한 보안업체 관계자는 “빠르게 정보화가 이루어지고 PC와 스마트폰을 이용한 모바일쇼핑 등 온라인쇼핑이 일반화 됐는데도 각 기업들은 정보보안에 너무 인색하다”며 “정부가 강제조항이던 온라인 보안을 규제완화 차원에서 권장 수준으로 하향시키면서 정보유출 피해를 더 키우고 있다”라고 지적했다.

이로인해 어떤 경우에도 정보유출이 발생한 기업에는 강력한 불이익을 줘야한다는 목소리가 힘을 얻고 있다.

정영일 기자 (wjddud@nextdaily.co.kr)

저작권자 © 넥스트데일리 무단전재 및 재배포 금지