의류 브랜드 익스프레스 고객 개인정보 유출 사고

주장의류 소매업체 익스프레스는 웹사이트 보안 결함으로 고객의 개인정보와 주문 내역을 외부인이 열람하도록 방치했습니다. 이번 사태는 기업의 기본적인 보안 관리 체계가 부실했음을 보여줍니다.

팩트익스프레스는 미국과 멕시코, 라틴 아메리카 전역에서 수백 개의 매장을 운영하는 대형 의류 기업입니다. 현재 이 회사는 여러 패션 브랜드를 소유한 더블유에이치피(WHP) 글로벌이 운영합니다.

팩트보안 전문가 레이 방고는 가족 계정의 부정 결제를 조사하다가 타인의 주문 정보가 검색 엔진에 노출된 사실을 발견했습니다. 그는 익스프레스에 보안 결함을 알릴 경로를 찾지 못해 테크크런치(TechCrunch)에 제보했습니다.

팩트노출된 정보에는 고객의 이름과 전화번호, 이메일 주소, 우편 및 배송 주소가 포함되었습니다. 구매 품목과 결제 카드 종류, 카드 번호 마지막 네 자리 또한 유출된 것으로 확인되었습니다.

팩트테크크런치는 웹사이트 주문 확인 페이지의 주소를 수정하면 타인의 주문 정보에 접근할 수 있음을 확인했습니다. 익스프레스는 순차적인 주문 번호를 사용했기에 자동화 도구를 이용하면 수천 건의 주문 정보를 쉽게 탈취할 수 있는 구조였습니다.

팩트익스프레스는 테크크런치의 연락을 받은 뒤 지난 4월 15일 해당 보안 결함을 수정했습니다. 하지만 이미 최소 12건 이상의 고객 주문 정보가 웹 검색 엔진 결과에 노출된 상태였습니다.

교차검증익스프레스의 마케팅 책임자 조 베리안은 고객 정보 보호가 중요하다고 밝혔습니다. 그러나 보안 결함 신고 경로와 고객 통지 계획에 대해서는 답변을 거부했습니다.

교차검증회사는 보안 사고 발생 시 주 법무장관에게 보고해야 하는 데이터 유출 통지법 준수 여부에도 침묵했습니다. 또한 외부인의 개인정보 접근 여부를 확인할 수 있는 로그 기록 존재 여부도 밝히지 않았습니다.

주장이번 사건은 최근 기업들이 설정 오류나 보안 관리 소홀로 고객 정보를 인터넷에 노출하는 사례 중 하나입니다. 대형 유통업체는 디지털 보안을 기술적 문제가 아닌 고객 신뢰의 핵심 요소로 인식해야 합니다.

팩트최근 홈디포는 1년간 내부 시스템을 노출했고, 펫코(Petco)는 펫코 클리닉 사이트를 통해 고객 개인정보와 반려동물 의료 기록을 유출했습니다. 이러한 사례는 기업의 보안 취약점 공개 프로그램 운영이 필수적임을 시사합니다.

출처테크크런치의 보도 내용을 교차 검증했습니다. (https://techcrunch.com/2026/04/16/fashion-retailer-express-left-customers-personal-data-and-order-details-exposed-to-the-internet/)