[뉴시안=이석구 기자] 고객 4만9000명의 개인정보가 유출돼 곤욕을 치루고 있는 홈플러스가 1년 간 이를 전혀 모르고 있어 충격을 주고 있다. 

이에 홈플러스는 해당 의혹에 대해 자사에서 고객정보가 유출된 것이 아니고, 이를 은폐한 적도 없다고 반박했다. 하지만 일각에서는 최근 개인정보 유출 피해를 인지하고서도 이를 제대로 알리지 않고 있다는 지적이 나오고 있다.

26일 국회 과학기술정보방송통신위원회 변재일 더불어민주당 의원이 방송통신위원회로부터 제출받은 자료에 따르면 신원을 알 수 없는 특정인이 2017년 10월17일부터 2018년 10월 1일까지 약 1년간 홈플러스 온라인몰 고객 4만9007명의 아이디, 비밀번호로 접속한 사실이 확인됐다. 홈플러스는 1년이 지나고 나서야 이를 인지하고 지난 20일, 한국인터넷진흥원(KISA)에 개인정보 유출 사실을 신고했다. KISA는 홈플러스 개인정보 유출 사건 조사에 착수했다.

변 의원은 “개인정보 유출 사실을 인지한 지 6일이 지난 현재까지 이용자에게 개인정보 유출과 포인트 탈취 사실을 알리지 않고 있다”며 “이는 3000만원 이하의 과태료를 부과할 수 있는 현행법 위반 사항이다”고 지적했다.

이에 홈플러스는 “사건 인지 직후 신속히 사태를 파악하고 한국인터넷진흥원(KISA)에 신고했고 방송통신위원회 조사에 협조하고 있다”며 “피해고객에게는 KISA 신고 당일 패스워드를 초기화하고 새 비밀번호를 사용하도록 이메일과 문자메시지로 개별 안내했다”고 해명했다.

이어 “내부적으로 개인정보처리시스템의 안전성을 외부 보안업체와 재검토했고, 고객의 개인정보 유출 정황은 확인되지 않았다”며 “2008년부터 고객이 비밀번호를 입력하는 즉시 일방향 암호화해 데이터베이스에 저장하기 때문에 홈플러스 시스템에서 비밀번호가 유출되는 것은 원천적으로 불가능한 일이다”고 덧붙였다.

홈플러스 관계자는 “당사의 고객정보가 해커에게 직접 유출되지는 않았다”며 “피해고객의 패스워드를 즉시 초기화한 후 관련 내용을 즉각 안내했다”고 강조했다.

변 의원은 “조사가 완료되지 않은 상황에서 홈플러스가 이 사건을 고객 정보 유출이 아니라고 단정지을 수 없다”며 “홈페이지에 개인정보침해사고 조사에 대해서도 게재하지 않고 있는 것은 명백한 개인정보보호위반이다”고 지적했다. 

개인정보보호법 제34조와 시행령 제40조에 따르면, 1000명 이상의 정보주체에 관한 개인정보가 유출된 경우 인터넷 홈페이지에 유출된 개인정보의 항목, 유출 시점 및 경위, 대응조치 및 피해구제 절차, 담당부서 및 연락처를 7일 이상 게재해야 한다.