아주경제 장윤정 기자 = 지난 6일 해킹으로 개인정보 51만건을 유출시켜 홈페이지에 사과문을 공개한 제너시스BBQ그룹(BBQ치킨)이 홈페이지에 개인정보 암호화 조치를 여전히 취하지 않은 것으로 드러났다. 

BBQ치킨은 지난해 4월부터 홈페이지에 암호화를 적용하지 않은채 방치해 왔다. 홈페이지 암호화는 가장 기본적인 조치로 기본적인 암호화를 적용하지 않아 이번 해킹 공격이 발생한 것으로 추정된다. 

BBQ치킨의 패스워드 암호화 미 조치는 개인정보보호법 발효 후에도 법령을 준수하지 않은 것으로 개인정보보호법 제 29조에 따른 행정처분 과태료 대상에 해당한다. 
 
7일 정보화사회실천연합은 51만건의 개인정보를 유출시킨 제너시스BBQ그룹(BBQ치킨)이 현재까지 홈페이지 암호화를 적용하지 않아 로그인 과정에서 아이디, 패스워드를 그대로 노출하고 있다고 밝혔다. 
 
또한 유출된 개인정보를 확인할 수 있는 사이트조차 암호화가 되어있지 않은 상태다. 이에 따라 BBQ 회원들은 개인정보 유출 사실을 확인하려 접속했다가 또 다시 개인정보를 털릴 위험에 처해있다는 지적이다.

정보화사회실천연합에 따르면 BBQ치킨 홈페이지에서 회원가입, 비밀번호 찾기는 SSL이 적용돼 암호화로 보호조치 되고 있지만 로그인 시 아이디와 패스워드가 그대로 노출된다. 

'와이어샤크'라는 인터넷에서 쉽게 구할 수 있는 패킷분석기를 이용해 분석해 본 결과 이같은 사실이 드러났다.

특히 정보화사회실천연합이 지난해 4월 조사한 바에 따르면 BBQ치킨은 지난해 4월에도 홈페이지에 암호화를 적용하지 않은 상태로 운영해 왔다. 당시 이 단체는 BBQ치킨에 암호화 미조치 사실을 알렸지만 조치되지 않은 상태로 현재까지 방치된 것으로 드러났다.   

BBQ치킨은 사과문에서 “침해 사실을 확인한 뒤 불법 접근 시도를 차단하는 등 보안을 강화해 더 이상의 피해가 발생하지 않도록 조치했다”고 공지했지만 실제로는 가장 기본적인 조치도 안 한 셈이다.

 
아울러 BBQ치킨은 아이디(ID)와 비밀번호, 이메일 주소 3가지만 유출됐다며 주민등록번호, 신용카드정보, 은행계좌 등이 없어 큰 피해가 우려되지 않는다고 해명했다. 그러나 보안전문가들의 의견은 다르다.

보안전문가들은 "BBQ 홈페이지에 회원으로 가입하기 위해서는 이름, 생년월일, 성별, 아이디, 비밀번호, 휴대폰 번호, 이메일 주소, 주소 등을 입력해야 한다"며 "서비스 이용 과정에서 IP 주소와 쿠키(웹기록 파일), 방문 일시, 서비스 이용 기록 등의 정보도 수집될 수 있다. 온라인 결제에 사용된 카드번호와 은행 계좌번호 등도 우려된다"고 밝혔다.

또 BBQ의 해명대로 아이디, 비밀번호, 이메일 주소 등 세 가지 정보만 유출됐다 하더라도 문제는 간단치 않다. 대부분의 이용자가 여러 사이트에서 같은 아이디와 비밀번호를 사용하기 때문에 해커가 유출된 아이디를 다른 사이트에 대입시켜 공격한다면 2차 피해가 발생할 수도 있다.