주문번호, 이름, 연락처, 이메일, 배송지 주소 등 노출...카드 번호는 안전
현금 보상 또는 물품 보상 등으로 세분...이달 말까지 홈페이지 통해 보상 정보 입력해야

[보안뉴스 김영명 기자] 지난 13일 ‘봄날엔 약과’로 유명한 유튜버 ‘여수언니 정혜영’의 봄날엔(Bomnal&)은 개인정보 유출사고가 발생한지 일주일 만에 보상안을 발표했다. 봄날엔 측은 홈페이지를 통해 ‘봄날엔 사이트 개인정보 노출 여부 확인 절차 및 보상안 안내’라는 제목으로 이번 사고의 상세한 경위와 함께 사과의 글을 올렸다.


먼저 이번 봄날엔 사이트는 이달 12일 공식 론칭했으며, 사고는 론칭 당일에 발생했다. 이후 하루 뒤인 13일에 홈페이지를 통해 ‘봄날엔 서비스 관련’이라는 제목으로 디도스 공격을 받았다는 것을 알렸으며, 같은 날 ‘개인정보 유출 관련’이라는 제목으로 2,600여명 고객의 개인정보가 노출된 사실을 공지했다.

봄날엔은 “론칭 당일 분당 수백만 회의 요청이 몰렸고, 12만건의 주문서가 생성되며 접속량이 폭증했습니다”라며 “수용 가능한 하루 주문량이 초과되어 다수의 ‘주문번호가 중복 처리’ 되었습니다”라고 말했다. 이어 “본 사건으로 동일한 주문번호를 가진 1~2명의 주문자에게 주문정보가 공유되어 개인정보가 노출되었습니다”라며 “특정 단체나 해커의 접근으로 인한 개인정보 노출이 아님을 안내드립니다”라고 안내했다.

안내에 따르면, 노출된 개인정보는 △주문번호 △구매자 이름 △구매자 연락처(핸드폰 번호) △구매자 이메일 △수령인 이름 △수령인 연락처 △배송 주소 △카드번호 등이다. 다만 카드번호는 주문 상세내역에서 마스킹 된 상태로 보이기 때문에 전체 16자리 중 10개 숫자, 카드 만료일과 CVC(보안코드)는 노출되지 않아 카드를 재발급 받을 필요는 없다고 안내했다. 하지만, 구매인과 수령인이 다를 경우 봄날엔 홈페이지 회원 이외에도 피해자가 더 늘어날 수 있다고 추측된다.


봄날엔 측은 홈페이지 호스팅사인 아임웹 측과 협의해 보상안을 마련했다. 보상안은 ‘주문을 시도해 개인정보 노출 가능성이 있는 2,600여분’으로 현금 3만원과 봄날엔 약과 1박스 등이다. 사고 이후 홈페이지에 긴급히 마련된 개인정보 노출 조회를 통해 대상자로 확인된 사람에 한해 보상안이 제공된다.

이번 개인정보 노출 여부는 이달 31일까지 조회가 가능하다. 현금 보상을 받을 계좌 정보 또는 상품 보상을 받을 수령자 정보를 홈페이지를 통해 입력하면 현금 보상은 이달 26일부터 순차적으로 진행되고, 상품 보상은 재고 입고 후 일괄 발송될 예정이라고 밝혔다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>