홈플러스 강서 신사옥 전경/ 홈플러스 제공

홈플러스가 최근 불거진 '개인정보 유출 의혹'에 대해 "사실이 아니며 이를 은폐한 사실은 더욱 없다"고 반박했다.

업계에 따르면 더불어민주당 변재일 의원은 26일 방송통신위원회 자료를 근거로 홈플러스 온라인몰에서 포인트를 노리고 타인의 계정정보로 접속한 사례가 확인됐다고 발표했다. 유출된 개인정보는 4만9000건이다.

변 의원은 "홈플러스가 사건이 발생한 지 2년이 되도록 관련 사실을 인지하지 못했다"며 "개인정보 유출을 인지한 지 6일이 지나도록 가입자에게 피해사실을 알리지 않고 있는 것은 3000만원 이하의 과태료를 부과할 수 있는 정보통신망법 위반 사항에 해당한다"고 지적했다.
 
이에 대해 홈플러스는 입장문을 내고 "홈플러스의 고객정보가 유출된 것이 아니며 당사는 이를 은폐한 적이 없다"고 반박했다.

사건 자체가 해킹이 아닌 범죄자가 다른 사이트에서 수집한 아이디와 비밀번호 등 개인정보를 바탕으로 홈플러스 온라인쇼핑몰에 접촉해 OK캐쉬백 포인트를 절취했다는 설명이다.

홈플러스에 따르면 피해자는 다른 사이트와 동일한 아이디 및 패스워드를 사용 중이었던 4만9007명의 고객으로 OK캐쉬백 포인트 부정적립에 대한 전체 피해액은 총 400여만원 수준인 것으로 파악했다.

이어 홈플러스는 내부 해킹 자체가 불가능하다고 주장했다. 홈플러스 관계자는 "2008년부터 고객의 비밀번호를 입력하는 즉시 일방향 암호화해 데이터베이스에 저장하므로 비밀번호가 유출되는 것은 원천적으로 불가능하다"며 "고객정보가 해커에게 직접 유출되지는 않았다"고 밝혔다.

이어 "내부적으로 개인정보처리시스템의 안전성을 외부 보안전문업체와 재검토했고 당사 고객의 개인정보 유출 정황은 확인되지 않았다"고 설명했다.

그러나 사건을 인지하지 못했다는 변 의원의 의혹에 대해서는 "범죄자는 다른 사이트에서 도용한 아이디와 비밀번호로 홈플러스 온라인쇼핑몰에 정상 로그인을 했고 홈플러스 온라인쇼핑몰에서는 가족과 지인 등 타인의 OK캐쉬백 카드로도 적립할 수 있기 때문에 고객의 민원이 최초 발생할 때까지 이를 비정상 행위로 인지하기 어려웠다"고 해명했다.

또한 사건 인지 직후 한국인터넷진흥원(KISA)에 신고하고 방송통신위원회 조사에 협조하고 있다고 설명했다.

홈플러스 관계자는 "피해고객에게는 KISA 신고 당일인 지난 20일 오후 6시부터 패스워드를 즉시 초기화한 후 새로운 비밀번호를 사용하도록 이메일 및 문자메시지로 개별 안내했다"며 "방통위와 KISA의 조사결과를 기다리고 있다"고 말했다.

이어 "사고 직후, 부정 적립에 사용된 OK캐쉬백 카드 등록을 삭제하고 해당 카드의 적립 및 사용이 불가하도록 조치했다"며 "동일한 카드가 다수 등록될 경우 이상 행위로 간주하고 담당자에게 즉시 통보되도록 관제 운영 기준을 강화했다"고 말했다.

한편 방송통신위원회와 한국인터넷진흥원(KISA)은 이번 '개인정보 유출 의혹'사건에 대해 현장조사에 나섰다.