2025.01.03 GS리테일 개인정보 유출 사고 요약

1. 개요

• GS리테일은 2024년 12월 27일부터 2025년 1월 4일까지 편의점 GS25 홈페이지를 대상으로 크리덴셜 스터핑(Credential Stuffing) 공격을 받아 고객 개인정보가 유출되었습니다. 
• 해커는 다크웹에서 획득한 타 사이트 계정 정보를 무차별 대입해 로그인에 성공한 후 정보를 탈취했습니다. 
• 회사는 1월 6일 사고를 공식 확인하고 피해자에게 통지했습니다.

 

2. 피해범위

• 총 9만 여 명의 GS25 회원 정보가 유출되었습니다. 피해 대상은 주로 편의점 회원이지만, GS리테일 통합 아이디(GS25, GS샵, GS더프레시)를 사용하는 고객에게 2차 피해 우려가 제기되었습니다.

 

3. 유출항목

• 유출된 정보는 이름, 성별, 생년월일, 연락처, 주소, 아이디, 이메일 등 7개 항목입니다. 
• 금융정보는 포함되지 않았으나, 동일 아이디 사용 고객의 추가 피해 가능성이 있습니다.

 

4. 원인

• 공격의 주된 원인은 취약한 비밀번호 관리와 2차 인증 미적용입니다. 
• GS리테일은 해외 IP 20여 개를 통한 크리덴셜 스터핑 공격을 차단하지 못했으며, 오랜 기간 시스템 로그를 분석하지 않아 사후 대응이 지연되었습니다.

 

5. 대응

• GS리테일은 사고 발생 직후 해외 IP 차단 및 계정 잠금 조치를 시행했습니다. 
• 피해 고객에게는 문자를 발송해 비밀번호 변경을 권고했으며, 한국인터넷진흥원(KISA)과 개인정보보호위원회에 신고했습니다.

 

6. 문제점

• 72시간 통지 규정 위반: 1월 3일 피해를 인지했으나 1월 6일에서야 공개했습니다.
• 통합 아이디 시스템 리스크: GS리테일 계정을 타 서비스와 연동해 사용한 고객의 2차 피해 가능성이 방치되었습니다.
• 보안 인프라 미흡: 다크웹에서 유출된 정보를 활용한 공격에 대한 사전 차단 시스템이 부재했습니다.
• GS리테일은 재발 방지를 위한 정보보호 대책위원회 구축을 발표했으나, 피해자 보상 체계 마련은 미뤄졌습니다.