LF그룹 계열사 '트라이씨클'이 해킹 공격을 받았다. 이로 인해 제휴사 고객 개인정보가 유출됐다.

3일 LF그룹에 따르면 지난 10월21일 트라이씨클이 운영하는 쇼핑몰 '하프클럽' 제휴사 고객정보가 유출됐다. 내부 정보보안 프레임워크 보안이 취약해 해커에게 뚫린 것이다. 해커는 300만명에 달하는 개인정보 데이터베이스(DB) 목록을 확보하는 데 성공했다고 주장한다. 다만 회사는 유출된 데이터 중 식별 가능한 정보는 최대 1만5000건으로 파악하고 있다. 

이번 사고는 회사가 사용 중인 공용 설루션의 오래된 취약점을 보안 패치하지 않아 발생했다. 설루션의 대한 상세 정보 및 보안 패치 배포 시점은 확인되지 않았으나, LF그룹의 계열사와 제휴사 고객들은 보안 취약점 방치로 인해 상당 기간 개인정보 유출 위험에 노출돼 있었을 것으로 보인다. LF그룹은 트라이씨클을 포함해 수십 개의 계열사를 보유하고 있다.

심지어 LF그룹 및 계열사는 개인정보 유출 사고가 발생한 이후에도 한 달여 동안 피해 사실을 모르고 있었다. 회사는 뉴스저널리즘 취재가 시작된 다음에야 유출 규모와 경위 조사에 착수했다. 다음날에는 계열사 대표 이름으로 사과문 형식의 공지사항을 게재했다.

하프클럽에 올라온 공지사항 내용은 제휴사에서 받은 일부 주문의 개인정보(상품 출고 및 배송에 이용되는 정보)가 유출됐으며, 하프클럽 회원의 개인정보는 유출되지 않았다는 내용이 담겼다. 언뜻 보면 '하프클럽과 상관 없이' 제휴사 차원에서 발생한 문제라는 설명 같다. 

하지만 이번 개인정보 유출 사고는 제휴사가 아닌 LF그룹 및 계열사의 안일한 보안의식에서 기인했다. 공용 설루션 개발사가 미리 보안사고를 방지하기 위한 취약점 패치 버전을 배포했음에도, LF그룹 및 계열사가 이를 적용하지 않아 사고가 일어난 것이다. 회사는 보안사고가 발생한 다음달 취약점 패치를 진행했다. 

심지어 피해 고객들은 현재까지도 개인정보 유출 사실을 통보받지 못해 2차 피해에 노출돼 있는 것으로 나타났다.

뉴스저널리즘이 입수한 정보에 따르면 유출 항목에는 제휴사 회원의 △이름 △주소 △휴대전화번호 △주문내역 등의 민감 개인정보가 포함됐다. 이러한 개인정보가 유출될 시 스팸이나 보이스 피싱 등으로 인한 금전적 피해가 발생할 수 있으며, 주문 정보 등의 상세 내역을 이용한 블랙메일, 스미싱 등의 공격이 발생할 수 있다.

LF그룹 관계자는 "회사는 사건 인지 후 즉각적으로 대응했으며, 3일 한국인터넷진흥원(KISA)에 관련 내용 신고했다"라며 "제휴사 고객 대상으로 개별 연락을 취해 피해 사실을 통보할 예정이나, 현재까지 피해 사례는 확인되지 않았다"라고 전했다. 제휴사 고객들은 개인정보가 유출된 사실을 통지받지 못했기에, 아직 피해 사실을 알지 못하고 있는 것으로 풀이된다.

관계자는 이어 "고객 피해 접수 시 규모에 따라 보상 조치를 취할 것"이라고 덧붙였다.