BGF네트웍스에서 해킹(개인정보 유출) 사고가 발생했다. BGF네트웍스는 CU편의점 택배 서비스를 운영하는 곳으로, CU 편의점 운영사인 BGF리테일의 관계사다. 2009년 설립 이후 CU 브랜드를 중심으로 한 BGF그룹 유통·물류 채널을 기반으로 성장해왔다. 지주사 BGF의 자회사였지만, 지난 2024년 BGF리테일이 지분 전량을 인수했다. 업계 일각에선 BGF네트웍스의 개인정보 유출은 편의점 업계의 택배 서비스 경쟁 과정에서 보안과 데이터 관리가 소홀했던 게 아니냐는 지적이 나온다. 자체 시스템의 취약점이 정보 유출 원인으로 지목되기 있기 때문이다. 특히 직간접적인 2차 피해 발생에 대한 우려의 목소리도 높다. 최근 편의점 택배 서비스가 생활밀착형 플랫폼으로 자리잡은 상황에서 소비자 상당수가 비슷한 ID와 비빌먼호 등을 쓰는 경우가 있다는 배경에서다.
10일 편의점업계와 보안업계 등에 따르면 BGF네트웍스는 지난 5일 홈페이지를 통해 신원을 알 수 없는 해커가 자사 내부 시스템에 침입해 고객 개인정보가 유출됐다고 밝혔다. 유출된 정보는 이름, 휴대전화 번호, 이메일 주소, 주소, 성별, ID, 비밀번호(암호화 처리), 연계정보(CI) 등이다. BGF네트웍스는 "고객의 소중한 정보를 안전하게 보호하지 못한 점에 대해 무거운 책임을 통감한다"며 "사고 즉시 대내외 조치를 취했다"고 밝혔다.
BGF네트웍스는 해킹 사고를 인지(지난 4일 오후 3시 30분)한 직후 공격 IP를 차단하고 보안 조치를 완료했으며, 침해사고 대응팀을 가동해 모니터링 강화에 나섰다. 개인정보보호위원회와 한국인터넷진흥원(KISA) 등 관계 기관에 대한 신고도 진행했다. 경찰청 국가수사본부 사이버테러대응과는 지난 8일 CU편의점 택배 서비스 개인정보 유출 사건과 관련해 지난 6일부터 입건 전 조사(내사)를 진행 중이다. 사건의 전반적인 사실관계를 규명하고 신속하게 피의자를 특정·검거하기 위해서다. 개인정보 유출 경위와 피해 규모 확인, 관련자 특정 및 추적에 필요한 절차도 병행한다는 계획이다.
업계 안팎에선 BGF네트웍스의 개인정보 유출에 따른 2차 피해 발생 가능성을 우려하고 있다. CI가 유출 항목에 포함됐기 때문이다. CI는 온라인상에서 본인 확인에 활용되는 연계정보로, 여러 서비스에서 동일인을 식별하는 데 사용된다. 편의점 택배와 같은 생활밀착형 서비스 이용자 가운데 일부는 여러 온라인 서비스에서 동일한 아이디와 비밀번호를 사용하는 경우가 있어, 유출된 정보가 결합될 경우 다른 플랫폼을 대상으로 한 무차별 로그인 시도(크리덴셜 스터핑) 등에 악용될 가능성을 배제할 수 없다는 지적이 나온다. 유출된 개인정보가 스미싱이나 피싱 범죄에 악용될 가능성도 제기된다.
BGF네트웍스가 개인정보 유출 인지 직후 "비밀번호는 암호화돼 있어 안전하지만 타 사이트와 동일한 비밀번호를 사용하는 경우 비밀번호 변경을 권장한다"며 "출처가 불분명한 번호의 전화 수신이나 문자메시지 내 URL 링크 클릭에도 주의해 달라"고 당부한 것도 이 같은 맥락으로 풀이된다.
BGF네트웍스는 현재까지 확인된 금전적 피해 사례는 없는 것으로 파악하고 있다. 다만 경찰 조사가 진행 중인 만큼 상황을 예의주시하며 대응 방안을 마련한다는 방침이다. BGF네트웍스는 "개인정보 유출 사고와 관련해 진심으로 머리 숙여 깊이 사과드린다"며 "현재 진행 중인 경찰 조사에 적극 협조하고 있다"고 밝혔다.
김세형 기자 fax123@sportschosun.com