GS리테일, 해킹당해 고객 9만명 개인정보 유출..."깊이 사과"
2025-01-06 15:31
무작위 대입해 로그인한 '크리덴셜 스터핑'
GS리테일이 지난달 27일부터 이달 4일 사이 웹사이트 해킹 공격을 받아 고객 9만여 명의 개인정보가 유출된 것으로 6일 파악됐다.
유출된 것으로 추정되는 고객들의 개인 정보는 이름, 성별, 생년월일, 연락처, 주소, 아이디, 이메일 등 7개 항목이다.
GS리테일이 이 같은 사실을 인지한 뒤 해당 고객들에게 안내 문자 메시지를 보내는 과정에서 이번 피해 내용이 외부로 알려졌다. 이 피해는 GS리테일에서 처음 일어난 개인정보 유출 사태다.
GS리테일 측은 "이번 건으로 불편과 염려를 끼쳐드린 점 고객 여러분께 깊이 사과드린다"며 "당사는 앞으로 시스템 보안을 더욱 강화하고 개인 정보를 철저히 보호하기 위해 최선의 노력을 다하겠다"고 말했다.
이번에 확인된 해킹 수법은 여러 경로를 통해 수집한 계정과 비밀번호 등의 정보를 무작위로 대입해 로그인한 후 개인 정보를 훔치는 '크리덴셜 스터핑'(credential stuffing)으로 확인됐다.
한편 피해 접수는 GS25, GS샵, GS더프레시 등 각 사업부 대표번호로 동시에 받고 있다.