BGF리테일이 운영하는 편의점 씨유(CU) 모바일 애플리케이션 '포켓CU'가 해킹을 당했다. 그런데 회사는 해킹 피해를 인정하면서도 고객정보 유출은 없다는 입장이다. 나아가 고객정보 유출이 없으니 이를 통지 및 신고할 의무 또한 이행할 필요가 없다고 주장한다. 정말 그럴까.

뉴스저널리즘이 지난 13일 BGF리테일에 확인한 바에 따르면, 지난 11일 모바일 애플리케이션 포켓CU에서 해킹 사고가 발생했다. 해킹 피해를 입은 고객은 약 400명으로 집계됐다. BGF리테일은 해당 고객에게 비밀번호 변경을 당부하는 내용의 메시지를 발송했다. 아울러 이번 해킹으로 700만원 상당의 금전적 피해가 발생한 사실도 확인됐다.

이와 관련해 BGF리테일 관계자는 "지난해 개인정보를 확인하기 위한 인증단계를 강화해 개인정보 유출은 발생하지 않았으며, 금전 피해가 발생한 '상품권 선물' 기능도 본인 인증을 추가하는 조치를 완료했다"라고 본지에 밝혔다. 해커가 고객 계정에 접속하는 데 성공했을지라도, 고객의 개인정보를 확보할 수 없다는 주장이다.

하지만 포켓CU 앱은 로그인에 성공할 시 별도의 보안 인증 없이 △이름 △전화번호 △주소 등의 민감 개인정보가 담긴 '배송지 정보'를 확인할 수 있었다. BGF리테일의 설명과 달리 개인정보가 유출됐을 가능성이 충분히 있다.

그럼에도 BGF리테일은 이용자 보호를 위한 해킹 피해 사실 공지 등을 게시하지 않을 방침이다. 또한 이 같은 사실을 개인정보보호위원회에 신고하지 않은 것으로 확인됐다. 개인정보보호법에 따르면 개인정보처리자 등이 처리하고 있는 개인정보가 유출된 경우 피해확산 방지 및 정보주체에 대한 피해구제를 위해 해당 사실을 통지 및 신고해야 한다.

BGF리테일 관계자는 "(고객 스스로) 정보를 정확히 입력했는지 확인하기 위해서 '배송지 정보'는 마스킹(가림) 처리를 할 수 없다"라며 "다른 사이트도 마찬가지로 운영되고 있으며, 이번 해킹 사고로 배송지 관리가 조회된 이력도 없다"라고 말했다.

해커가 400명에 달하는 이용자 계정에 접속하는 데 성공했으나, 별도 보안 인증 없이 쉽게 확인 가능한 배송지 정보에 적힌 개인정보는 열람조차 하지 않았단 주장이다.

이에 대해 개인정보보호위원회 관계자는 "배송지 정보는 민감 개인정보가 입력 및 보관될 수 있다는 점에서 개인정보가 아니라고 보긴 어렵다"라는 입장을 밝혔다. 해킹으로 인해 해당 정보가 노출될 수 있다면, 개인정보 유출로 판단하고 있다는 설명이다. 이어 "BGF리테일로부터 접수된 신고는 없었다"라고 덧붙였다.

포켓CU의 '개인정보처리방침'에서도 △배송지주소 △주문인 연락처·이름 등은 개인정보로 분류하고 있다. 하지만 이 같은 정보가 노출될 위험에 직면했음에도 회사 측은 개인정보 유출 가능성은 없다고 주장하고 있는 것.

그러면서 한편으로 BGF리테일 측은 취재가 시작된 후 포켓CU 내 '배송지 정보'에 본인인증 단계를 추가한 것으로 확인됐다. '배송지 정보는 마스킹 처리를 할 수 없다'는 당초 설명과 배치되는 조치다. 

한편, 지난해부터 확인된 BGF리테일의 보안사고는 이번이 세 번째다. BGF리테일은 지난해 2월 중국 해킹 조직 '샤오치잉'으로부터 홈페이지 해킹 피해를 입은 바 있다. 같은 해 4월에는 포켓CU 해킹으로 600명 규모의 개인정보 유출사고가 발생하기도 했다.