[단독] 개인정보 유출시킨 BBQ 치킨, 홈페이지 암호화 방치
2014-04-07 14:38
지난해 4월에도 암호화 적용안돼 … 개인정보 유출 확인사이트도 암호화 미적용
아주경제 장윤정 기자 = 지난 6일 해킹으로 개인정보 51만건을 유출시켜 홈페이지에 사과문을 공개한 제너시스BBQ그룹(BBQ치킨)이 홈페이지에 개인정보 암호화 조치를 여전히 취하지 않은 것으로 드러났다.
BBQ치킨은 지난해 4월부터 홈페이지에 암호화를 적용하지 않은채 방치해 왔다. 홈페이지 암호화는 가장 기본적인 조치로 기본적인 암호화를 적용하지 않아 이번 해킹 공격이 발생한 것으로 추정된다.
BBQ치킨의 패스워드 암호화 미 조치는 개인정보보호법 발효 후에도 법령을 준수하지 않은 것으로 개인정보보호법 제 29조에 따른 행정처분 과태료 대상에 해당한다.
7일 정보화사회실천연합은 51만건의 개인정보를 유출시킨 제너시스BBQ그룹(BBQ치킨)이 현재까지 홈페이지 암호화를 적용하지 않아 로그인 과정에서 아이디, 패스워드를 그대로 노출하고 있다고 밝혔다.
또한 유출된 개인정보를 확인할 수 있는 사이트조차 암호화가 되어있지 않은 상태다. 이에 따라 BBQ 회원들은 개인정보 유출 사실을 확인하려 접속했다가 또 다시 개인정보를 털릴 위험에 처해있다는 지적이다.
정보화사회실천연합에 따르면 BBQ치킨 홈페이지에서 회원가입, 비밀번호 찾기는 SSL이 적용돼 암호화로 보호조치 되고 있지만 로그인 시 아이디와 패스워드가 그대로 노출된다.
'와이어샤크'라는 인터넷에서 쉽게 구할 수 있는 패킷분석기를 이용해 분석해 본 결과 이같은 사실이 드러났다.
특히 정보화사회실천연합이 지난해 4월 조사한 바에 따르면 BBQ치킨은 지난해 4월에도 홈페이지에 암호화를 적용하지 않은 상태로 운영해 왔다. 당시 이 단체는 BBQ치킨에 암호화 미조치 사실을 알렸지만 조치되지 않은 상태로 현재까지 방치된 것으로 드러났다.
BBQ치킨은 사과문에서 “침해 사실을 확인한 뒤 불법 접근 시도를 차단하는 등 보안을 강화해 더 이상의 피해가 발생하지 않도록 조치했다”고 공지했지만 실제로는 가장 기본적인 조치도 안 한 셈이다.
아울러 BBQ치킨은 아이디(ID)와 비밀번호, 이메일 주소 3가지만 유출됐다며 주민등록번호, 신용카드정보, 은행계좌 등이 없어 큰 피해가 우려되지 않는다고 해명했다. 그러나 보안전문가들의 의견은 다르다.
보안전문가들은 "BBQ 홈페이지에 회원으로 가입하기 위해서는 이름, 생년월일, 성별, 아이디, 비밀번호, 휴대폰 번호, 이메일 주소, 주소 등을 입력해야 한다"며 "서비스 이용 과정에서 IP 주소와 쿠키(웹기록 파일), 방문 일시, 서비스 이용 기록 등의 정보도 수집될 수 있다. 온라인 결제에 사용된 카드번호와 은행 계좌번호 등도 우려된다"고 밝혔다.
또 BBQ의 해명대로 아이디, 비밀번호, 이메일 주소 등 세 가지 정보만 유출됐다 하더라도 문제는 간단치 않다. 대부분의 이용자가 여러 사이트에서 같은 아이디와 비밀번호를 사용하기 때문에 해커가 유출된 아이디를 다른 사이트에 대입시켜 공격한다면 2차 피해가 발생할 수도 있다.
아울러 수집한 개인정보가 그룹사간에 공유되고 있어 피해 범위가 더 커질 수도 있다. 현재 제너시스의 그룹사는 BBQ, BHC, 닭익는마을, 닭익는마을 도리마루, 유나인, BBQ 올리브돈까스, BBQ 치킨&비어, BBQ 참숯바베큐, BBQ 올떡 등이다.
BBQ 홈페이지 이용약관에 따르면 제너시스 그룹사를 비롯한 계열사 사이트의 회원들에게 공통으로 적용되며, 이번 회원가입 한번을 통해 공통으로 가입, 이용할 수 있다고 고지하고 있다.
손영준 정보화사회실천연합 대표는 "100개의 문 중 99개를 철통같이 지키더라도 단 1개의 문만 허술해도 털리는게 개인정보"라며 "보안은 어느 한 곳도 가볍게 여겨서는 안되는 분야라는 점을 명심해 모든 기업이 다시 한번 취약한 부분을 점검, 개인정보 유출을 대비해야한다"고 당부했다.