BBQ웹사이트 해커가 노린이유

BBQ 외 제너시스그룹 9개 계열사간 고객정보 공유 ‘파장’ 

실명확인 회원, 주민번호·아이핀 번호 등 최대 15가지 이상 수집  

[보안뉴스 김경애] 개인정보 유출사고가 여기저기서 줄줄이 터지고 있다. 이번엔 국민들이 많이 이용하는 ‘BBQ 치킨’의 고객정보다. 

홈페이지 해킹으로 고객의 개인정보가 유출됐다고 밝힌 BBQ 측은 유출정보는 회원아이디, 암호화된 비밀번호, 이메일 주소 3가지라고 공지했다. 하지만 유출정보가 3가지에 불과한지를 두고 논란이 제기되고 있다.

공지사항에는 홈페이지에 어떤 문제로, 언제, 그리고 얼마나 유출됐는지 등 자세한 내용이 전혀 없다. 게다가 홈페이지에서 실명확인까지 하고 있으면서도 이에 대한 구체적인 언급도 없다.

BBQ 홈페이지 회원가입은 일반회원과 실명확인 회원가입으로 구분된다. 일반회원의 경우 성명, 생년월일, 성별, 아이디, 비밀번호, 별명, 연락처(메일주소, 휴대폰 번호 중 택일), 가입인증정보를 수집한다. 

실명확인 회원정보는 이용자의 선택에 따라 주민번호나 아이핀 회원 가입으로 나뉜다. 이들의 경우 성명, 실명인증값(아이핀 회원은 아이핀 번호), 생년월일, 성별, 아이디, 비밀번호, 별명, 연락처(메일주소, 휴대폰번호 중 택일), 만 14세 미만은 법정대리인 정보, 가입인증정보 등의 정보를 수집하고 있다.

게다가 서비스 이용과정이나 사업처리 과정이란 명목으로 IP Address, 쿠키, 방문 일시, 서비스 이용 기록, 불량 이용 기록 등의 정보들이 자동으로 생성되어 수집될 수 있다고 BBQ 측은 밝히고 있다.

또한 홈페이지 주문 결제 이용 과정에서는 신용카드 결제시 카드사명, 카드번호 등이 수집될 수 있고, 휴대전화 결제시에는 이동전화번호, 통신사, 결제승인번호, 계좌이체시에는 은행명, 계좌번호, 상품권 이용시에는 상품권 번호 등이 수집될 수 있다. 

게다가 수집한 개인정보는 그룹사간에 공유되고 있는 것으로 드러났다. 현재 제너시스의 그룹사는 BBQ, BHC, 닭익는마을, 닭익는마을 도리마루, 유나인, BBQ 올리브돈까스, BBQ 치킨&비어, BBQ 참숯바베큐, BBQ 올떡 등이다.

BBQ 홈페이지 이용약관에 따르면 제너시스 그룹사를 비롯한 계열사 사이트의 회원들에게 공통으로 적용되며, 이번 회원가입 한번을 통해 공통으로 가입되어 이용할 수 있다고 고지하고 있다. 

BBQ 측이 밝힌 그룹 및 계열사에 제공하는 개인정보 항목은 이름, 생년월일, 로그인 ID, 비밀번호, 자택 전화번호, 자택 주소, 휴대전화번호, 이메일주소, 회사전화번호, 기념일, 접속 로그, 쿠키, 접속 IP 정보, 포인트카드 정보다.

상황이 이렇다 보니 이번 정보유출에 대해 소비자의 불만이 쏟아지고 있다. 이와 관련 김모 씨는 “이벤트, 쿠폰 등의 명목으로 개인정보를 무분별하게 수집하면서 당연하듯 계열사 간에 개인정보를 공유하는 건 기업의 횡포에 불과하다”며 “그러면서도 정작 홈페이지 관리는 허술하다”고 분통을 터뜨렸다. 이번 개인정보 유출사건의 파장이 만만치 않을 것임을 예고하는 대목이다.