국내 폰 쇼핑몰, 주민번호·카드번호까지 고스란히 노출

국내 폰 쇼핑몰, 주민번호·카드번호까지 고스란히 노출

휴대전화 쇼핑몰의 이용자 실명·전화번호·주소·카드결제 정보를 비롯한 개인정보가 외부에 노출, 이용자의 주의가 요구된다.

1일 업계에 따르면 보안 전문가 A씨는 최근 다크웹 검색 도중에 국내 휴대전화 쇼핑몰 B사에서 가입자 개인정보가 고스란히 노출된 사실을 확인했다. 한 웹페이지 링크를 통해 B사에 접속하다가 B사 가입자 실명부터 유효기간을 포함한 카드결제 정보가 그대로 나타났다.

A씨는 “다크웹에서 외국인 해커가 임시로 제작한 것으로 추정되는 웹페이지를 발견했다”면서 “이곳에 등록된 각국 홈페이지 목록 가운데 한국 홈페이지를 클릭해 보니 B사의 고객 개인정보가 노출된 화면으로 연결됐다”고 말했다.

본지가 A씨로부터 해당 링크를 전달받아 확인한 결과 B사 가입자 개인정보가 '마이페이지' 형태로 노출됐다. 휴대전화 주문에 사용된 카드번호 등 민감한 정보부터 기기 변경, 선택약정 할인, 할부, 유심비, 배송비 등 주문 세부 정보까지 나타났다.

휴대전화 유통업체는 주민등록번호 수집이 금지돼 B사가 이를 수집한 사실은 또 다른 문제로 지적된다. 마케팅 활용을 위해 주민등록번호를 수집하면서도 보안 조치에는 소홀, 개인정보 수집·관리에 문제점이 드러났다.

A씨는 “해당 다크웹 웹페이지는 해커가 자신의 실력을 과시하기 위한 목적에서 개설한 것으로 보인다”면서 “홈페이지 내 단순 조작으로 B사의 고객 개인정보가 노출된 만큼 B사 홈페이지 운영자가 보안에 주의하지 못한 것 같다”고 설명했다.

보안업계는 홈페이지 취약점에 의한 개인정보 노출은 해킹에 의한 것은 아니지만 이미 노출된 카드결제 정보가 추후 사이버 공격에 악용될 소지가 크다고 경고했다.

최근 농구화, 옷, 인테리어 소품까지 국내 온라인 쇼핑몰에서 유사 사례가 지속 포착돼 사업자 보안 의식 제고도 시급하다.

서현민 에스투더블유랩 수석연구원은 “국내 온라인 쇼핑몰을 겨냥한 공격과 이로 인한 개인정보 유출이 다크웹에서 빈번하게 포착된다”면서 “유출된 정보는 다크웹과 딥웹에서 2차 판매돼 신용카드 해외 도용, 피싱 사기 등으로 이어질 공산이 크다”고 말했다.

한국인터넷진흥원(KISA)은 B사 홈페이지의 취약점과 관련해 개인정보 침해 신고를 접수, 조치에 들어갔다.

오다인기자 ohdain@etnews.com