티몬, 개인정보 113만건 유출 ㆍ 위메프, 현금포인트 털려
온라인 쇼핑몰을 바짝 추격하고 있는 소셜커머스가 잇단 해킹 사고로 소비자들을 불안에 떨게 하고 있다.
10일 업계에 따르면 위메프는 지난 5일과 6일 양일간 2~3개의 특정 IP를 통해 이용자 아이디와 비밀번호를 무작위로 입력하는 방법을 사용한 해커들에게 현금 포인트를 탈취당했다.
위메프 측은 2만 포인트에서 40만 포인트까지 피해가 발생했으며, 그 금액은 모두 1100만원이 넘는다고 밝혔다. 하지만 장기간 로그인 등을 하지 않아 신고를 하지 못한 고객들과 범죄에 사용된 IP가 추가로 발견될 가능성도 높아 피해 인원과 규모는 더욱 늘어날 것으로 보인다.
이번 피해가 기술적 해킹이 아닌 개인정보를 조합해 활용한 2차 피해로 추정되고 있기 때문에, 해커들이 얼마나 많은 이용자 아이디와 비밀번호를 가지고 있는지 여부도 관건이다.
위메프는 해당 사실이 인터넷을 통해 알려지자 사태 수습에 들어갔다. 먼저 피해자들에게 전액 보상을 실시한다는 방침을 세웠고, 범죄에 사용된 IP의 접근도 원천 차단했다. 그러나 사고가 발생한지 5일이 지난 시점까지도 별도의 공지나 해명을 하지 않아 고객 정보와 피해를 숨기기 급급한 것 아니냐는 비판이 일고 있다.
더욱 큰 문제는 이 같은 피해가 계정 탈취 시도 이후 즉시 발견되지 못했다는 점이다. 위메프 측은 범행이 이틀간이나 이뤄진 이유에 대해 “주말이었기 때문에 일부 대응이 늦어진 점이 있다”고 해명했다.
소셜커머스의 개인정보 유출과 해킹은 이번이 처음이 아니다.
‘짝퉁’ 어그부츠를 판매해 물의를 일으켰던 티켓몬스터(티몬)는 해킹으로 인해 개인정보 113만건이 유출됐지만, 3년간 이를 알지 못하다 올 초 경찰의 통보로 사실을 인지하기도 했다. 티몬은 경찰의 통지 내용을 인용해 정보 유출이 2011년 4월경 발생한 것으로 밝히고, 회원 이름과 아이디, 성별, 생년월일, 전화번호 등의 유출을 인정했다.
이 때문에 이번 위메프 아이디와 비밀번호 유추에 사용된 개인정보가 티몬에서 유출된 정보일 가능성도 전혀 배제할 수 없다는 것이 업계의 추측이다. 또 최근 발생한 카드사와 이통사 개인정보를 이용해 아이디와 비밀번호를 유추할 수 있었을 가능성이 높은 만큼 추가 범죄가 발생할 가능성도 높다.
위메프와 티몬 외에 쿠팡 역시 사업 초기인 2011년 홈페이지가 해커에 의해 악성파일 유포지가 되기도 했다. 해커들은 보안패치가 없는 기간 동안의 취약한 상태를 노리는 ‘제로데이’ 공격을 시도했다. 이 방법은 해커가 악성코드를 심어놓은 변조된 웹사이트에 사용자가 접속하면 이용자의 PC를 통해 악성코드를 유포하고 아이디와 비밀번호 등을 해킹하는 방식이다.
관련 전문가들은 소셜커머스의 연이은 보안 허점에 대해 “외형적 확장에 주력하다보니 내부 보안이 부실한 측면이 있는 것 같다”며 “해킹이나 아이디 유추 범죄의 경우 이상 징후가 감지되기 때문에 충분히 사전 방어할 수 있는 일들이어서 더욱 아쉽다”고 말했다.