충전금만 3000억원인데…무작위 로그인에 스타벅스도 당했다

입력 2023-07-16 16:09수정 2023-07-16 16:48

  • 작게보기

  • 기본크기

  • 크게보기

4년 전에도 동일한 해킹에 뚫렸지만…보안책 강화는 없었다

‘무작위 로그인’ 크리덴셜 스터핑에 당해…800만 원 부정결제
결제 바코드, 유효 시간 10분→2분·캡처 금지…미봉책 지적도
이중 인증 도입 목소리…스타벅스 코리아 “안전장치 더 마련하겠다”

▲스타벅스 매장 앞을 한 시민이 지나가고 있다. (뉴시스)

개인정보 유출로 1000만 원의 과태료를 물었던 스타벅스 코리아에서 또다시 수백만 원 대의 금액이 부정 결제되는 사건이 발생했다. 수년 전에 같은 수법으로 해킹을 당했음에도 보안 대책을 마련하지 않으면서 스타벅스 코리아의 안이한 보안 의식이 도마 위에 올랐다.

16일 스타벅스 코리아에 따르면 최근 스타벅스 애플리케이션(앱) 이용자 90여명의 계정이 해킹되면서 충전금 약 800만 원이 부정 결제됐다. 부정 결제는 텀블러 구매에 집중됐다. 되팔아 현금화하기 쉽다는 것을 노린 것이다.

현재 스타벅스 코리아는 해킹 공격자의 해외 IP를 차단하고 관계 기관에 신고한 상태다. 또 피해가 확인된 소비자의 충전금은 스타벅스가 전액 보전했다.

이번 해킹 시도는 크리덴셜 스터핑 방식으로 이뤄졌다. 크리덴셜 스터핑은 이미 유출된 아이디와 비밀번호 정보를 활용해 다른 웹사이트나 앱에 무작위로 대입해 로그인이 될 경우 해킹을 하는 방식이다. 평소 이용자들이 아이디와 비밀번호를 동일하게 설정한다는 점을 악용한 것이다.

해킹 이후 스타벅스 코리아는 앱 내 스타벅스 카드로 결제를 할 수 있는 바코드 유효 시간을 기존 10분에서 2분으로 줄이는 한편 안드로이드 기반 스마트폰에서 바코드를 캡처하는 기능을 막았다.

스타벅스 관계자는 “해킹 발생 이후에 모니터링을 강화하면서 추가 피해 사실이 없는지 지속적으로 확인하고 있다”면서 “피해를 최소화하는 방향으로 바코드 유효 시간을 줄인 것이며 안전장치를 더 마련하도록 조치 중”이라고 했다.

▲크리덴셜 스터핑 방식으로 해킹이 이뤄진 뒤 공지된 스타벅스 코리아의 안내문. (사진제공=스타벅스 코리아)

해킹 피해를 막기 위한 조치라는 게 스타벅스 코리아의 설명이지만 이를 두고 미봉책에 불과하다는 비판이 나온다. 현재 스타벅스 앱은 로그인에만 성공하면 계정에 이미 충전된 금액을 이용해 추가적인 인증절차 없이 결제할 수 있기 때문이다.

금융감독원 전자공시시스템에 따르면 SCK컴퍼니(스타벅스 코리아)의 선수금 규모는 지난해 기준 2983억 원이다. 선수금은 선불 충전금을 의미한다. 특히 2018년 940억 원 수준이던 선수금이 5년 새 3000억 원에 육박하는 등 매년 증가하고 있는 만큼 이중 인증 등 별도의 장치가 필요하다는 지적이다.

일각에서는 스타벅스 코리아의 안이한 개인정보 보안 의식이 문제라는 비판도 나온다. 스타벅스 코리아는 2019년에도 이번과 동일한 크리덴셜 스터핑에 노출됐다. 당시 스타벅스 코리아는 이용자들에게 주기적으로 비밀번호를 변경해달라고 요청했고 잔액을 편취당한 고객에는 피해금액을 보상한 바 있다. 해킹 이후 4년이 지났음에도 추가적인 대책을 마련하지 않았다는 지적이 나오는 대목이다.

올해 초에는 개인정보보호위원회를 통해 1000만 원의 과태료 처분을 받았다. 2017년 고객 4명의 개인정보를 유출한 사실을 알고도 관계기관에 신고하지 않아 ‘개인정보 유출 통지·신고’ 의무를 위반했다는 이유에서다.

스타벅스 관계자는 “고객의 불편함과 번거로움에 머리 숙여 사과드린다”면서 “재발 방지를 위해 강화된 인증 방안을 추가로 마련하고 고객의 개인정보와 자산을 보호하기 위한 최선의 노력을 다하겠다”고 밝혔다.

  • 좋아요0
  • 화나요0
  • 슬퍼요0
  • 추가취재 원해요0
주요뉴스
댓글
0 / 300
e스튜디오
많이 본 뉴스
뉴스발전소