홈플러스, 700만건 개인정보로 장사했던 악몽 다시 되살아나지만 이번엔 국민의 과실도 크다

[뉴스워커_오피니언] 시간은 약 5년여 전으로 거슬러 올라간다. 홈플러스(대표이사, 임일순)는 지난 2011년부터 2014년까지 대대적인 경품행사를 벌였다. 이 행사에서 당첨되는 경품 또한 우리 국민의 입을 쫙~ 벌어지게 했다. 다이아반지에 고급 외제승용차까지 경품행사에 응모하지 않는 건 어쩌면 바보 같은 짓이었다.

1등 경품은 전 세계적인 브랜드인 드비어스의 다이아몬드 반지 2캐럿으로, 당시 가격으로만 7천800만 원의 초호화 경품이었기 때문이다.

하지만 홈플러스는 이렇게 모은 개인정보로 보험사 등에 팔아넘기면서 150억원 상당의 수익을 올렸다. 응모권에 1mm 크기로 고객정보를 수집한다고 깨알 공지한 뒤 수집한 정보를 건당 3000원 안팎의 가격을 매겨 넘긴 결과였다.

한데, 최근 이 같은 공포가 되살아나고 있다. 분명 홈플러스의 고의나 실수는 아닐 것이라 믿고 있지만 과거의 좋지 않은 경험은 언제까지든 잊혀지지 않기 때문이다.(실제 필자도 그 당시 홈플러스의 경품행사에 여러 차례 응모를 한 경험이 있다.)

지난 7월 과거의 이력을 청산하며 새롭게 온라인 주문 배송 시스템을 갖추고 온오프라인을 넘나드는 상권 확보를 야심차게 준비한 홈플러스, 한데 1년여간 홈플러스 온라인몰에 단 한사람이 무려 4만9000여명, 정확하게는 4만9007명에 달하는 타인의 계정 정보로 비정상적 접속(로그인)을 했다는 사실이 알려졌다. 홈플러스는 이것을 다른 사이트와 동일한 아이디 및 패스워드를 사용 중이었던 4만9007명의 고객들이 그 피해의 대상이 됐다고 전했다.(사정이 이렇다면, 이번 사안은 홈플러스 뿐 아니라 이마트, 롯데마트도 함께 조사선상에 올려야 하지 않을까.)

최근 방송통신위원회가 변재일 더불어민주당 의원에게 제출한 자료에 따르면 해당 사건은 지난 2017년 10월 17일~2018년 10월 1일까지 약 1년에 걸쳐 발생했다. 반면 홈플러스는 그동안 온라인몰의 비정상 접속 사실을 알지 못했으며, 지난 9월 한 고객이 포인트 미적립 민원을 제기하면서 그 피해 사실을 알고 방송통신위원회에 신고했다. 변 의원에 따르면 다른 사람의 계정으로 접속하는 것 자체가 개인정보 유출에 해당한다는 것인데, 타 사이트에서 가져온 정보를 홈플러스 사이트에 접속하는 것이 유출에 해당하는지는 관계기관의 조사를 지켜봐야 알 것이다.

현행법(정보통신망법 제27조의3)에 따르면 서비스 제공자는 개인정보의 유출 사실을 인지하면 지체 없이 모든 사항을 이용자에게 알리고, 방통위 또는 KISA(한국인터넷진흥원)에 해당 내용을 신고해야 한다. 홈플러스는 고객들에게 개인정보가 유출됐다는 사실과 혹시 모를 재산상의 피해 사실을 고객들에게 6일이 지난 후에 알렸다고 한다. 변 의원은 홈플러스의 이런 행위에 ‘은폐’라고 했다. 하지만 홈플러스는 ‘즉각’알렸다고 했다. 어느 쪽이 맞는지도 지켜봐야 알 일이다.

변 의원의 주장을 인용하면 “홈플러스가 무려 2년 동안 사태를 인지하지 못한 것은 고객의 개인정보를 내팽개친 것이나 다름없다”고 했다. 또 “이미 지난 2011년 개인정보 장사로 곤욕을 치른 사실이 있음에도 불구하고 개인정보 유출과 재산상의 피해 사실을 고객들에게 6일 동안 은폐한 것 역시 무책임한 행태”라고도 했다. 홈플러스는 최근 사태는 ‘은폐’가 아니란 입장이다. 또 과거야 어떻든 그들에게는 지나간 일일 것이다.

개인정보는 각종 보이스피싱 등 금융사기행각에 악용되어 왔다. 이렇게 피해 본 금액만도, 또 우리 대한민국의 경제적 손실만도 이루다 헤아릴 수 없다. 국민이면 누구나 ‘우체국이다’ ‘은행이다.’ ‘경찰이다’ ‘검찰이다’하는 신뢰 집단을 사칭해 전화를, 때론 사기를 당해본 경험이 있다. 홈플러스가 작게는 2000원에서 많게는 4500원까지 받고 판 우리 국민의 개인정보가 보험사로, 보험사는 또 어디로 팔았는지 아무도 모를 일이다. 단지 심증만 있을 뿐.

과거와 달리 홈플러스는 이번 개인정보 유출건과 관련해, 고객정보 유출과 은폐 의혹을 정면 반박했다. 단 한 명이 4만9007명의 계정을 이용해 홈플러스 온라인 몰에 접속했고, 해커에게 직접 유출되지 않았고 재차 강조하지만 이를 은폐한 적도 없다는 것이다.

하지만 방통위의 추정은 달랐다. 변 의원에 따르면 방통위는 해커로 추정되는 자가 홈플러스 가입자의 아이디와 비밀번호를 이용해 부정적 로그인을 시도한 것으로 봤다. 또 해킹의 목적은 ‘포인트 탈취’라는 것이다.

방통위는 해커로 추정되는 자가 부정 로그인을 했다고 했고, 홈플러스 측은 해커에게 직접 유출되지 않았다고 했다. 서로 말이 다르다. 아니면 방통위의 해커와 홈플러스의 해커의 의미는 다를 수도 있다.

중요한 점은 단 한명이 타 사이트에서 가져 온 수 만명의 계정으로 로그인을 했고 또 포인트 탈취시도를 했다는 것이다. 1년 동안 단 한사람이 4만9007명의 계정에 접속하려면 하루에 대략 134명(49,000÷365=134.24)의 계정에 로그인해야 한다. 가능한 일 같기도 하다.

하지만 이렇게 로그인한 목적이 ‘포인트 탈취’ 한 가지였을까 하는 것이 의문이다. 이왕 로그인 해 포인트를 자신의 계정으로 옮겼다면 그것 외의 정보도 자신의 컴퓨터에 복사했지 않았을까. 그 사용목적은 나중에 생각할 일이고 말이다.

바로 이점을 우리는 우려해야 한다. 홈플러스의 계정에 포인트 적립액이 쌓여있다는 것은 마트에서 어느 정도의 소비성향을 보이고 있다는 점을 짐작할 수 있다. 즉 조금 비약해서 생각한다면 재산의 정도를 대략이나마 짐작할 수 있다는 것이다. 이 정보는 결국 보이스피싱 등 금융사기단의 좋은 먹잇감이 될 수 있다. 이 범법자가 정말 방통위의 추정대로 해커라면 겉으로 보이는 정보 외에 더 많은 정보(예를 들면 홈플러스 방문 기록과 구입내역 등)를 빼냈을 가능성 또한 배제해서는 안된다. 하지만 홈플러스 측은 그런 추측 자체를 부정했다. 인정은 하지만 만약의 사태는 늘 우려해야 한다.

변 의원의 뒤에 남긴 당부는 이 때문이다. 변 의원은 “방통위와 KISA는 알려진 사실 이외에 추가 피해가 없는지 신속하고 철저하게 조사해 위법사항에 대해서는 단호히 대처해야 한다”고 했다.

그리고 또 하나, 이번 홈플러스 고객 4만9007명(이 또한 정확하지 않을 수 있다.)의 비정상 접속 사태는 홈플러스의 고의가 아닌 것은 분명해 보인다. 홈플러스만을 탓할 수는 없다는 얘기다. 정작 조심해야 할 대상은 바로 고객 즉 국민들이다. 아무데서나 써 달라면 마구 적어주는 전화번호, 주소, 주민번호도 필요한 자의 손에 넘어가면 돈이 되는, 또 그 금전적 피해는 자기 자신에게 되돌아오는 세상이다. 그것을 관리하고 또 보호하는 주체는 결국 자기 자신임을 명심해야 한다.

마지막으로 홈플러스 측에 당부하고 싶다. 홈플러스는 이승한 회장에 이어 도성환 대표이사(2013.5~2015.12), 김상현 대표이사(2015.12~2017.10)를 거쳐 지금의 임일순 대표이사(2017.10~현재)에 이르고 있다. 개인정보 문제가 불거진 대표로는 시대적으로 볼 때 도성환 전 대표 시절과 지금의 임일순 대표 재임시기로 보이지만 정확한 건 임일순 대표 재임시기 즉 지금의 개인정보 유출사태는 아직 조사결과가 발표되지 않아 확정지을 수 없다.

때문에 임 대표께 당부하고 싶다. 임 대표의 재임 기간동안 혹시 남을 수 있는 오점을 말끔히 해소하기 위해서는 방통위와 KISA의 조사에 적극협조해 줄 것을, 그래야 홈플러스를 애용하는 소비자에게 조금이라도 떳떳할 것이기 때문이며, 국민의 재산상 피해를 조금이나마 줄일 수 있을 것이다.