6일 업계에 따르면 지난해 12월27일부터 지난 4일까지 GS리테일 홈페이지 해킹 공격으로 일부 고객의 개인정보가 유출된 것으로 추정되는 정황이 파악됐다. 이번에 유출된 것으로 추정되는 개인정보는 ▲이름 ▲성별 ▲생년월일 ▲연락처 ▲주소 ▲아이디 ▲이메일 등 총 7개 항목이다.
GS리테일 측은 해킹을 시도하는 IP와 공격 패턴을 차단하고 고객 계정에 로그인할 수 없도록 잠금처리했다고 밝혔다. 개인 정보가 표시된 페이지를 확인할 수 없도록 임시 폐쇄조치도 내렸다.
이번 해킹에 사용된 방식은 '크리덴셜 스터핑'으로 파악된다. 여러 경로를 통해 수집한 계정과 비밀번호 등 정보를 특정 사이트에 방문해 무작위로 대입하고 로그인해 개인정보를 훔치는 수법이다.
GS리테일 측은 고객들에게 2차 피해 방지를 위해 비밀번호를 변경하고 개인정보 악용이 의심되는 전화나 이메일을 받으면 신고해달라고 당부했다. 피해 등 접수는 GS25, GS샵, GS더프레시 고객센터에서 모두 받고 있다.
GS리테일 관계자는 "이번 건으로 불편과 염려를 끼쳐드린 점 고객 여러분께 깊이 사과드린다"며 "당사는 앞으로 시스템 보안을 더욱 강화하고 개인 정보를 철저히 보호하기 위해 최선의 노력을 다하겠다"고 전했다.