2025.02.13 GS리테일 해킹 및 개인정보 유출 사고 요약 (1월 사고와 비교)

1. 개요

• 1월 사고: 2024년 12월 27일~2025년 1월 4일, 편의점 GS25 홈페이지 대상 크리덴셜 스터핑 공격으로 9만 여 명의 개인정보 유출.
• 2월 사고: 2024년 6월 21일~2025년 2월 13일, 홈쇼핑 GS샵에서 동일 기법으로 158만 건의 정보 추가 유출.
• 두 사고 모두 타 사이트 유출 계정 정보를 활용한 무차별 대입 공격이 원인이었습니다.

 

2. 피해범위

• 1월: GS25 편의점 회원 9만 명 피해.
• 2월: GS샵 홈쇼핑 회원 158만 명 피해로 규모가 약 17.5배 확대.
• 2월 사고는 공격 기간이 8개월로 더 길었으며, 유출 규모도 대폭 증가했습니다.

 

3. 유출항목

• 1월: 이름, 성별, 생년월일, 연락처, 주소, 아이디, 이메일 (7개 항목).
• 2월: 1월 항목 + 기혼 여부, 결혼기념일, 개인통관고유부호 (10개 항목)으로 민감정보 확대.
• 2월에는 결혼 관련 정보 등 고위험 데이터가 추가 유출되었습니다.

 

4. 원인

• 공통점:
   - 크리덴셜 스터핑 공격으로 다크웹에서 유출된 타 사이트 계정 정보 활용.
   - 2차 인증 미적용, 로그인 시도 모니터링 소홀.
• 차이점:
   - 2월 사고는 시스템 통합 과정의 보안 허점이 추가로 지적되었습니다.
   - 1월 대비 공격 기간이 길었으나, 사후 분석에서만 발견되어 사전 탐지 실패가 두드러졌습니다.

 

5. 대응

• 공통 조치:
  - 해킹 IP 차단, 계정 잠금 처리, 비밀번호 변경 권고.
  - 정보보호 대책위원회 발족.
• 2월 추가 조치:
  - 로그인 시 본인 확인 절차 강화 (예: OTP 도입).
  - 1년 치 로그 전수 분석을 통해 추가 유출 발견.
• 문제점: 1월 사고 후 GS샵 보안 조치 지연으로 2차 피해가 발생했습니다.

 

6. 문제점

• 반복적 유출: 1월 사고 후 1개월 만에 동일 기업에서 추가 유출 발생.
• 확대된 피해 범위: 유출 항목이 7개→10개로 증가하며 민감정보 노출 위험성 증대.
• 대응 지연: 1월 사고 시 72시간 내 통지 의무 위반, 2월 사고는 8개월간 미탐지로 총체적 부실이 드러남.
• 시스템 통합 리스크: GS리테일-GS홈쇼핑 합병 과정에서 보안 검토 미비.
• GS리테일은 재발 방지를 위해 보안 전문 인력 확충 및 모의 해킹 훈련을 약속했으나, 피해자 보상 체계 마련은 여전히 미흡한 상태입니다.