CU 편의점 택배 서비스에서 회원 아이디, 비밀번호, 이름, 생년월일, 성별, 연계정보(CI), 주소, 이메일, 휴대전화 번호가 유출됐다. 운영사 BGF네트웍스는 수하인 등 제3자 정보는 유출되지 않았다고 밝혔지만, 유출 회원 수와 침투 경로는 공개하지 않았다.
BGF네트웍스는 6일 CU POST 홈페이지에 개인정보 유출 사고를 공지했다. 회사는 "신원 미상의 해커가 시스템에 비인가 접근해 고객 개인정보를 유출한 정황을 확인했다"고 밝혔다. 사고 정황을 확인한 시점은 지난 4일 오후 3시30분이다.
유출 항목은 온라인 회원 고객 정보다. 아이디, 비밀번호, 이름, 생년월일, 성별, CI, 주소, 이메일, 휴대전화 번호가 포함됐다. 회사는 비밀번호가 단방향 해시 방식으로 암호화돼 저장돼 있다고 설명했다. 동시에 같은 비밀번호를 다른 서비스에서도 쓰는 고객에게는 즉시 비밀번호를 바꾸라고 안내했다.
택배 발송 과정에서 입력한 수하인 정보는 유출 범위에서 제외됐다는 게 회사 설명이다. 다만 회원 본인의 주소, 휴대전화 번호, 생년월일, 성별, 이메일, CI는 유출 항목에 포함됐다. 회사는 이용자에게 출처가 불분명한 전화나 문자메시지의 URL 링크를 누르지 말라고 공지했다.
BGF네트웍스는 사고 인지 직후 공격 IP 접속을 차단하고 시스템 이상 징후 모니터링을 강화했다고 밝혔다. 보안 정책 전반을 점검·정비하고 침해사고 대응팀도 가동했다고 했다. 개인정보보호위원회와 한국인터넷진흥원 등 관계기관 신고도 마쳤다.
공지에는 사고 이후 조치가 주로 담겼다. 해커가 어떤 경로로 시스템에 접근했는지, 접근 가능 기간이 얼마나 되는지, 유출 대상 회원 수가 얼마인지는 빠졌다. 고객이 본인 정보의 유출 가능성을 판단할 수 있는 기준은 아직 공개되지 않았다.
CU 택배는 전국 CU 점포망을 통해 이용되는 편의점 택배 서비스다. 개인정보 유출 공지는 BGF네트웍스 명의로 나왔지만, 소비자가 접하는 서비스명은 'CU'다. 사고 공지 이후 회사가 밝힌 내용은 유출 항목, 수하인 정보 제외 여부, 사고 인지 시점, 사후 조치에 그쳤다.