CU편의점 택배(CU POST)를 운영하는 BGF네트웍스 해킹 사고가 한 달 가까이 지난 지금도 개인정보보호위원회 조사와 경찰 수사가 이어지고 있다. 유출된 정보에 연계정보(CI)까지 포함돼 있어 다른 사이트 로그인 시도에 악용되는 2차 피해 우려가 가시지 않는 가운데, 국회에서는 과징금을 재원으로 피해자를 지원하는 기금을 신설하는 법안까지 나왔다.
사고는 어떻게 시작됐나
BGF네트웍스에 따르면 신원 미상의 공격자는 지난달 4일 오후 3시 30분쯤 회사 시스템에 노출된 웹 취약점을 악용해 비인가 접근했다. 회사는 다음 날인 5일 CU POST 홈페이지를 통해 유출 사실을 공지하고, 공격에 사용된 IP를 차단하는 등 보완 조치를 마쳤다고 밝혔다. 유출된 항목은 아이디, 단방향 암호화된 비밀번호, 이름, 생년월일, 성별, 주소, 이메일, 휴대전화번호, 그리고 연계정보(CI)다. 택배 발송 과정에서 입력하는 수하인 등 제3자 정보는 유출되지 않은 것으로 파악됐다.
왜 CI 유출이 특히 문제인가
CI는 주민등록번호를 대신해 온라인에서 동일인 여부를 식별하는 값으로, 주소·휴대전화번호와 결합하면 명의도용이나 스미싱, 보이스피싱 등 2차 범죄에 악용될 소지가 크다는 게 보안 업계의 지적이다. 아이디와 비밀번호 조합이 다른 서비스 로그인에 무작위로 대입되는 크리덴셜 스터핑 위험도 함께 거론된다. 경찰청 사이버테러대응과는 지난달 6일 내사에 착수했고, 개인정보보호위원회도 9일부터 유출 경위와 피해 규모, 안전조치 의무 준수 여부를 조사 중이다. 피해자들을 대리한 법무법인은 손해배상 청구를 위한 집단소송 원고 모집에 나선 상태다.
국회는 어떤 대책을 내놨나
이런 가운데 이훈기 더불어민주당 의원 등 10명은 개인정보보호법 위반으로 부과되는 과징금과 가산금, 과태료를 재원으로 삼는 '개인정보침해피해자보호기금'을 신설하는 개정안을 발의했다. 기금은 피해자 상담과 법률 지원, 분쟁조정, 소송 지원은 물론 2차 피해 예방과 구제 지원금 지급에 쓰인다는 구상이다. 대형 서비스 개인정보 유출이 잇따르는 상황에서, 사고 이후 처벌에 그치지 않고 피해 회복까지 이어지는 제도가 마련될지 주목된다.
CU POST를 이용한 적 없는데도 안심할 수 없는 이유는
이번 유출은 CU POST 온라인 회원 가입 이력이 있는 이용자를 대상으로 한다. 과거에 가입만 하고 이용을 중단했더라도 정보가 남아 있었다면 유출 대상에 포함될 수 있어, 개인정보위 조사 결과와 회사 공지를 통해 자신의 포함 여부를 확인하는 것이 안전하다.
피해를 본 이용자가 지금 할 수 있는 대응은
CU POST와 같은 아이디·비밀번호를 다른 사이트에서도 사용했다면 즉시 비밀번호를 바꾸고 사이트별로 다르게 설정하는 것이 좋다. 명의도용방지서비스나 이상 로그인 알림을 신청해두면 크리덴셜 스터핑 등 2차 피해를 조기에 알아챌 수 있다.
자료
- https://m.boannews.com/html/detail.html?tab_type=1&idx=143985
- https://www.fnnews.com/news/202606061317459944
- https://www.hankyung.com/article/2026060840977
- https://www.kmib.co.kr/article/view.asp?arcid=1781513100
- https://www.1conomynews.co.kr/news/articleView.html?idxno=49084
- https://sedam-classaction.co.kr/cu
