앞서 변재일 의원실은 지난 26일 방송통신위원회로부터 제출받은 자료를 통해 “지난 2017년 10월부터 홈플러스 온라인몰에서 타인의 계정으로 접속한 사례가 4만9000건 파악됐다”며 “홈플러스 온라인몰 해킹 목적은 포인트 탈취인 것으로 알려졌다”고 폭로했다.

이에 홈플러스는 자사 고객 정보가 유출된 것이 아니라 타사 사이트에서 수집한 아이디와 비밀번호 등으로 홈플러스 온라인쇼핑몰에 접속해 OK캐시백을 절취했다고 해명했다. 이같은 문제를 2년간 파악조차 못하다 최근 고객 신고로 사건을 인지하고도 ‘쉬쉬’했다는 변재일 의원실의 지적에 대해서도 사건 인지 직후에 한국인터넷진흥원(KISA)에 신고했고 고객들에게 이메일 문자메시지로 공지했다고 반박했다.

변재일 의원실은 2년간 이같은 사실을 인지하지 못하고 온라인 쇼핑몰의 비정상적인 로그인, 고객의 재산(포인트) 관리를 소홀히 한 것은 문제라고 재반박했다.

◇홈플러스 “고객 정보 유출·은폐 사실 아냐” vs 변재일 “통지 의무 어겼다”

변 의원은 “홈플러스는 지난 20일 개인정보 유출 사실을 인지한 후 현재까지 이용자에게 개인정보 유출과 포인트 탈취 사실을 알리지 않고 있다”며 “이는 정보통신망법 위반”이라고 지적했다.

이에 대해 홈플러스는 입장문을 내고 “홈플러스의 고객 정보가 유출된 것이 아니고, 이를 은폐한 적도 없다”고 반박했다.

홈플러스는 “다른 사이트에서 불법으로 수집한 불특정 다수의 아이디와 패스워드를 홈플러스 온라인몰에서 무작위로 입력해 무단 로그인을 시도한 것”이라고 주장했다.

또 “피해 고객에는 한국인터넷진흥원(KISA) 신고 당일인 지난 20일 오후 6시부터 패스워드를 즉시 초기화한 후 새로운 비밀번호를 사용하도록 이메일 및 문자메시지(LMS)로 개별 안내했다”고 강조하기도 했다.

이에 변재일 의원실은 즉각 추가 입장문을 내고 “홈플러스는 온라인쇼핑몰의 비정상적인 로그인, 고객의 재산(포인트) 관리를 소홀히 한 책임에서 자유로울 수 없다”고 밝혔다.


◇개인정보보호법이 아닌 정보통신망법 적용 대상…‘홈페이지 게재’ 의무 아냐

그러나 취재 결과 “홈플러스가 통지의무를 다하지 않았다”는 변 의원 측의 주장은 사실이 아닌 것으로 드러났다.

홈플러스 온라인몰의 경우 ‘통신판매업’으로 등록돼 있어 ‘특별법 우선의 원칙’에 따라 개인정보보호법이 아닌 정보통신망법을 우선 적용받기 때문이다. 변 의원 측이 언급한 개인정보보호법과 달리 정보통신망법과 그 시행령에서는 홈페이지 게재는 의무 사항이 아니다.

현재 홈플러스 개인정보 유출 의혹을 조사하고 있는 방통위와 KISA 관계자 모두 “이번 사안은 개인정보보호법이 아닌 정보통신망법의 적용을 받는다”고 분명히했다.

양기철 방통위 개인정보침해조사과장은 “현재 해당 사안에 대한 사실 관계를 조사 중이고 내용에 대해서는 확인 후 밝힐 것”이라고 말했다. 해킹 사실이 발생하지 않았다는 홈플러스 측의 해명에 대해서는 “사업자가 증명해야 하는 부분”이라고 설명했다.