개인정보 유출 없다더니…'대기업 빵집' 영업익 넘은 성심당, 해킹에 곤욕

'대전 명물'로 불리는 빵집 성심당이 온라인 쇼핑몰 해킹 사건으로 사이트에 접속한 고객들의 개인정보를 유출할 뻔한 것으로 나타났다. 당초 개인정보 유출 정황이 없는 것으로 파악했다고 했지만, 수사 결과 사실이 아닌 것으로 파악됐다.

24일 업계에 따르면 성심당은 지난달 3일 오후 10시께 온라인몰 '성심당몰'에서 네이버 로그인 페이지를 사칭하는 피싱 사이트로 이동하는 악성코드가 삽입된 정황이 포착됐다.

성심당은 인터넷진흥원과 사이트 접속 고객의 신고로 해킹 하루 반나절 뒤인 같은 달 5일 오전 9시께부터 해당 쇼핑몰을 폐쇄 조치했다. 당시 성심당 측은 온라인 홈페이지를 통해 "개인정보 유출 정황은 없는 것으로 파악하고 있다"며 "인터넷진흥원의 지원을 받아 해킹 발생 상세 원인을 분석 중"이라고 입장을 밝힌 바 있다.

하지만 대전경찰청 사이버범죄수사대의 수사 결과 '성심당몰'은 해킹 사건으로 개인정보가 유출될 뻔한 것으로 드러났다. 경찰은 해당 홈페이지에서 네이버 로그인을 하면 피싱 사이트로 유도하는 악성코드를 삽입, 이를 통해 개인정보를 빼내려 했던 것으로 보고 있다. 다만 개인정보가 해외 등으로 전송되거나 다운로드된 흔적은 아직 발견하지 못한 것으로 알려졌다. 현재까지 유출 규모는 확인되지 않았다.

경찰은 관계기관들이 유출로 인한 2차 피해가 없도록 조치를 취한 것으로 전해졌다. 아직 관련 피해 신고는 없는 것으로 나타났다.

다만 해킹 정황을 처음으로 포착한 디지털 범죄 대응 기업 라바웨이브 측은 최초 1시간 동안 확인한 네이버 계정 정보 관련 유출 피해자만 190여 명인 것으로 추정했다. 라바웨이브 측은 네이버 로그인 창과 유사한 피싱 사이트에 성심당몰 접속 고객이 실제 네이버 아이디와 비밀번호를 입력하는 방식으로 유출이 이뤄진 것으로 분석했다.

그동안 개인정보 유출 정황은 없다고 밝혀 온 성심당은 유출 여부를 직접 확인하진 않았던 것으로 나타났다. 통상 기업이 해킹 공격을 받으면 자체적으로 개인정보 유출에 관해 확인을 하거나 개인정보보호위원회에 유출 여부에 대한 조사를 의뢰하는 것이 일반적이다.

성심당은 "고객들로부터 개인정보 유출로 인한 피해 신고가 들어오지 않은 점, 인터넷진흥원으로부터 유출 정황은 보이지 않는다는 답변을 받은 점 등을 근거로 유출 정황은 없다고 판단했다"고 입장을 밝혔다.

업계에선 성심당이 해킹 사실을 하루 반나절이 지나 알았다는 점, 온라인몰 폐쇄로 인한 서비스 이용 불편에 대한 사과만 있었을 뿐 웹사이트 해킹에 대한 직접적인 사과가 따로 없었다는 점에서 아쉬움을 드러냈다.

라바웨이브 관계자는 "규모가 큰 기업은 웹사이트 점검을 수시로 하기 때문에 보안 취약점이 잘 발견되지 않지만, 성심당같이 IT 보안 전담 부서를 갖추지 못한 기업들은 웹사이트에 허점이 있을 가능성이 크다"며 "요즘은 디지털 범죄가 고도화되면서 교묘하게 웹사이트를 해킹하는 경우가 많아지기 때문에 기업들은 보안에 더 각별히 신경 써야 한다"고 밝혔다.

일각에선 성심당이 이번 일로 개인정보보호위원회를 통해 과징금이 부과될 지를 두고 예의주시하고 있다. 앞서 골프존은 지난해 11월 랜섬웨어 공격을 받아 221만 명의 고객 개인정보가 유출됐다는 이유로 지난달 과징금 75억원이 부과됐다. 고객의 개인정보 보호 의무를 다하지 않았다고 판단돼서다. 성심당 측은 앞으로 웹사이트 보안이 취약했던 부분을 강화하고 보안 전문 인력도 채용한다는 방침이다.