[비즈니스포스트] GS리테일이 또 다시 개인정보 유출 사고로 구설수에 오르며 소비자들의 불안감이 커지고 있다.

허서홍 GS리테일 대표이사 부사장은 취임한 이후 온·오프라인을 연계한 O4O(Online for Offline) 전략을 강화하며 모바일 플랫폼 확장을 추진해왔지만 보안 사고가 반복되면서 소비자 신뢰에 금이 갔다. 보안을 담보하지 못하는 혁신이라면 디지털 전환도 공염불이 될 수 있다는 지적이 잇따른다.

28일 GS리테일의 움직임을 종합해보면 오프라인 유통 강점을 앞세워 O4O 전략을 적극적으로 추진하고 있는 것으로 파악된다. 온라인과 오프라인을 연결해 새로운 성장 동력을 확보하겠다는 구상이다.

최근 GS리테일의 주력 사업인 편의점 GS25는 CU와의 경쟁에서 다소 불안한 모습을 보이고 있다. 매출은 GS25, 점포수는 CU가 앞서는 양강 구도를 이어왔지만 점포수 격차는 좀처럼 좁혀지지 않는 반면 매출 차이는 해마다 줄어들고 있다.

지난해 11월 GS리테일 대표이사로 승진한 허서홍 부사장은 O4O를 통한 질적 성장에 속도를 내고 있다. 승진과 동시에 퀵커머스실을 O4O 부문으로 승격시킨 것도 같은 맥락의 연장이다. 온·오프라인 시너지를 극대화해 새로운 성장 동력을 키우고 BGF리테일과의 경쟁에서 확실한 우위를 점하겠다는 전략으로 풀이된다.

허 부사장은 편의점 GS25와 슈퍼마켓 GS더프레시 등 오프라인 매장과 모바일 앱을 연계해 고객 접근성을 높이는 데 주력하고 있다. 디지털 기술을 활용해 온·오프라인 경계를 허물고 소비자 편의성을 극대화하겠다는 의도다.

대표적인 서비스가 GS25와 배달 플랫폼을 연결한 ‘우리동네딜리버리’. GS더프레시에서 온라인으로 예약한 상품을 매장에서 픽업할 수 있다. 최근에는 기존 통합 멤버십을 리뉴얼한 ‘GS올멤버십’을 선보이며 온·오프라인 경계를 더욱 허물고 있다. 편의점, 슈퍼마켓, 홈쇼핑의 적립 체계를 하나로 통합해 고객 편의성을 높인 것이 핵심이다. 온·오프라인을 넘나드는 소비 패턴을 유도하고 GS리테일 생태계 내에서 소비자 체류 시간을 늘리겠다는 의도로 풀이된다.
 

다만 허 부사장이 공격적으로 추진하고 있는 O4O 전략에 비해 GS리테일의 보안 시스템은 그 속도를 따라가지 못하고 있다는 지적이다.

최근 홈쇼핑 계열사 GS샵 웹사이트에서 개인정보 158만 건이 유출되는 사고가 발생했다. 불과 두 달 전에도 해킹 공격으로 고객 9만여 명의 개인정보가 유출된 데 이어 또 다시 대규모 정보 유출 사태가 터진 셈이다. 

GS리테일은 해킹에 사용된 IP와 공격 패턴을 즉시 차단하고 홈쇼핑 웹사이트 계정 로그인을 잠금 처리했다. 로그인 시 본인 확인 절차를 강화하고 고객들에게 비밀번호 변경을 권고하는 안내 메시지도 발송했다.

GS리테일은 금융정보나 멤버십 포인트는 유출되지 않았다고 밝혔지만 이름, 연락처, 주소, 이메일, 개인통관부호 등 민감한 개인정보가 포함되면서 피싱 사기나 2차 범죄 위험이 제기되고 있다. 단순한 정보 유출을 넘어 실질적인 피해로 이어질 가능성이 크다는 점에서 우려가 커지고 있다.

특히 GS리테일의 모바일 주문·결제 서비스를 주로 이용하는 2030세대는 개인정보 보호에 대한 경각심이 높은 편이다. 보안 사고가 반복될 경우 젊은 고객층의 이탈이 가속화될 가능성도 배제할 수 없다. “편리해서 썼더니 불안해서 못 쓰겠다”는 소비자들의 반응이 나오기 시작하면 GS리테일의 O4O 전략에도 제동이 걸릴 수밖에 없다.

일각에서는 GS리테일이 디지털 전환에 속도를 내는 만큼 보안에도 그에 상응하는 투자가 필요하다고 주장한다. 유통기업 특성상 방대한 고객 데이터를 보유하고 있어 해커들의 표적이 되기 쉬운 만큼 보안이 뚫리면 그 피해도 커질 수밖에 없다.

한국인터넷진흥원에 따르면 지난해 GS리테일의 정보보호 투자 금액은 35억 원으로 도매·소매업 분야 상위 7위에 해당한다. 문제는 정보기술(IT) 투자 금액 대비 정보보호 투자 비율이 1.9%에 불과하다는 점이다. 이는 도매·소매업 정보보호 투자 상위 10대 기업 중 가장 낮은 수준이다. 

GS리테일은 사태 수습을 위해 ‘정보보호 대책 위원회’를 발족하고 향후 이를 상설 운영하겠다고 발표했다. 정보 보호 투자 확대, 최신 보안 기술 도입, 보안 정책 강화, 전문 인력 확충 등을 통해 보다 근본적인 대응책을 마련한다는 계획도 밝혔다.

GS리테일 관계자는 “이번 사건을 계기로 개인정보 보호 및 보안 강화를 최우선 과제로 삼고 재발 방지에 최선을 다할 것”이라며 “이번 사고를 수습하기 위해 종합적 대응 방안을 철저히 마련하고 계속해서 고객 및 관계사들과 투명하게 소통할 것”이라고 말했다.

정부 차원의 규제 강화 필요성도 거론되고 있다. 이번 사태를 계기로 유통업계 전반의 보안 규제가 단순 권고를 넘어 실질적 제재 및 법적 기준으로 강화될 가능성도 낮지 않다. 실제로 개인정보보호위원회는 최근 개인정보보호법을 위반한 해피포인트 운영사 섹타나인에 대해 과징금 및 시정명령 처분을 내렸다. 해피포인트는 파리바게뜨, 배스킨라빈스, 파스구찌 등 SPC그룹 계열 브랜드를 포함한 23개 브랜드 가맹점에서 사용되는 멤버십 서비스다.

섹타나인은 보안 관리 부실로 1만7천여 명의 개인정보가 유출한 책임을 물어 총 15억 원 규모의 과징금을 부과받았다. 선례가 형성된 만큼 GS리테일을 비롯한 주요 유통사들도 보안 강화에 소홀할 경우 규제 압박을 피하기 어려울 것으로 전망된다.

GS리테일 관계자는 “GS리테일을 믿고 이용해 주신 고객 여러분께 다시 한 번 머리 숙여 사과드린다”며 “GS리테일을 이용해 온 고객들의 신뢰를 회복할 수 있도록 최선의 노력을 다할 것”이라고 말했다. 김예원 기자