개인정보위, 스티비 유출 조사 시작…GS리테일 건 접수 완료

개인정보보호위원회가 최근 발생한 스티비 개인정보 유출 사고 조사에 착수했다. 최근 발생한 GS리테일 사고 건은 접수까지 완료된 상태다. 7일 개인정보위 관계자는 현재 두 기업 개인정보 유출 정황에 대한 조사 현황을 이같이 밝혔다. 앞서 GS리테일 고객 정보가 크리덴션 스터핑 공격으로 유출됐다. 스터핑 공격은 해커가 여러 경로를 통해 수집한 계정 정보와 비밀번호를 특정 사이트에 들어가 랜덤 방식으로 대입·로그인 후 정보를 훔치는 식이다. 이번에 유출된 고객 정보는 이름을 비롯한 성별, 생년월일, 연락처, 주소, 아이디, 이메일 등 7개 항목인 것으로 전해졌다. 현재 GS리테일은 공격을 시도하는 IP와 공격 패턴을 차단했다고 발표했다. 또 개인정보가 표시된 페이지를 확인할 수 없도록 임시로 폐쇄한 상태다. 국내 뉴스레터 플랫폼 스티비도 지난달 해킹당했다. 이에 스티비 사용자 이름과 이메일, 비밀번호 등이 유출됐다. 일부는 신용정보까지 유출된 것으로 전해졌다. 특히 알스퀘어 뉴스레터 구독자 약 4만 명에게 외교부를 사칭한 스팸 메일이 발송됐다. 스티비는 사건 이후 보안 강화를 위해 2단계 인증 도입, 실시간 금융 거래 모니터링 강화, 개인정보 암호화, 불필요한 데이터 파기 등 대책을 발표했다. 개인정보위는 해당 사건을 조사 중이거나 조사 예정인 상태다. 스티비 정보 유출 조사는 올 초부터 이뤄졌으며 GS리테일 건은 지난 6일 접수됐다. 개인정보위 관계자는 "유출 건에 대한 과징금 규모 등 구체적 결과는 수개월 후 나올 것으로 본다"고 밝혔다.