충전금만 3000억원인데…무작위 로그인에 스타벅스도 당했다

입력 2023-07-16 16:09 수정 2023-07-16 16:48
  • 가장작게

  • 작게

  • 기본

  • 크게

  • 가장크게

4년 전에도 동일한 해킹에 뚫렸지만…보안책 강화는 없었다

‘무작위 로그인’ 크리덴셜 스터핑에 당해…800만 원 부정결제
결제 바코드, 유효 시간 10분→2분·캡처 금지…미봉책 지적도
이중 인증 도입 목소리…스타벅스 코리아 “안전장치 더 마련하겠다”

▲스타벅스 매장 앞을 한 시민이 지나가고 있다. (뉴시스)
▲스타벅스 매장 앞을 한 시민이 지나가고 있다. (뉴시스)

개인정보 유출로 1000만 원의 과태료를 물었던 스타벅스 코리아에서 또다시 수백만 원 대의 금액이 부정 결제되는 사건이 발생했다. 수년 전에 같은 수법으로 해킹을 당했음에도 보안 대책을 마련하지 않으면서 스타벅스 코리아의 안이한 보안 의식이 도마 위에 올랐다.

16일 스타벅스 코리아에 따르면 최근 스타벅스 애플리케이션(앱) 이용자 90여명의 계정이 해킹되면서 충전금 약 800만 원이 부정 결제됐다. 부정 결제는 텀블러 구매에 집중됐다. 되팔아 현금화하기 쉽다는 것을 노린 것이다.

현재 스타벅스 코리아는 해킹 공격자의 해외 IP를 차단하고 관계 기관에 신고한 상태다. 또 피해가 확인된 소비자의 충전금은 스타벅스가 전액 보전했다.

이번 해킹 시도는 크리덴셜 스터핑 방식으로 이뤄졌다. 크리덴셜 스터핑은 이미 유출된 아이디와 비밀번호 정보를 활용해 다른 웹사이트나 앱에 무작위로 대입해 로그인이 될 경우 해킹을 하는 방식이다. 평소 이용자들이 아이디와 비밀번호를 동일하게 설정한다는 점을 악용한 것이다.

해킹 이후 스타벅스 코리아는 앱 내 스타벅스 카드로 결제를 할 수 있는 바코드 유효 시간을 기존 10분에서 2분으로 줄이는 한편 안드로이드 기반 스마트폰에서 바코드를 캡처하는 기능을 막았다.

스타벅스 관계자는 “해킹 발생 이후에 모니터링을 강화하면서 추가 피해 사실이 없는지 지속적으로 확인하고 있다”면서 “피해를 최소화하는 방향으로 바코드 유효 시간을 줄인 것이며 안전장치를 더 마련하도록 조치 중”이라고 했다.

▲크리덴셜 스터핑 방식으로 해킹이 이뤄진 뒤 공지된 스타벅스 코리아의  안내문. (사진제공=스타벅스 코리아)
▲크리덴셜 스터핑 방식으로 해킹이 이뤄진 뒤 공지된 스타벅스 코리아의 안내문. (사진제공=스타벅스 코리아)

해킹 피해를 막기 위한 조치라는 게 스타벅스 코리아의 설명이지만 이를 두고 미봉책에 불과하다는 비판이 나온다. 현재 스타벅스 앱은 로그인에만 성공하면 계정에 이미 충전된 금액을 이용해 추가적인 인증절차 없이 결제할 수 있기 때문이다.

금융감독원 전자공시시스템에 따르면 SCK컴퍼니(스타벅스 코리아)의 선수금 규모는 지난해 기준 2983억 원이다. 선수금은 선불 충전금을 의미한다. 특히 2018년 940억 원 수준이던 선수금이 5년 새 3000억 원에 육박하는 등 매년 증가하고 있는 만큼 이중 인증 등 별도의 장치가 필요하다는 지적이다.

일각에서는 스타벅스 코리아의 안이한 개인정보 보안 의식이 문제라는 비판도 나온다. 스타벅스 코리아는 2019년에도 이번과 동일한 크리덴셜 스터핑에 노출됐다. 당시 스타벅스 코리아는 이용자들에게 주기적으로 비밀번호를 변경해달라고 요청했고 잔액을 편취당한 고객에는 피해금액을 보상한 바 있다. 해킹 이후 4년이 지났음에도 추가적인 대책을 마련하지 않았다는 지적이 나오는 대목이다.

올해 초에는 개인정보보호위원회를 통해 1000만 원의 과태료 처분을 받았다. 2017년 고객 4명의 개인정보를 유출한 사실을 알고도 관계기관에 신고하지 않아 ‘개인정보 유출 통지·신고’ 의무를 위반했다는 이유에서다.

스타벅스 관계자는 “고객의 불편함과 번거로움에 머리 숙여 사과드린다”면서 “재발 방지를 위해 강화된 인증 방안을 추가로 마련하고 고객의 개인정보와 자산을 보호하기 위한 최선의 노력을 다하겠다”고 밝혔다.

  • 좋아요0
  • 화나요0
  • 슬퍼요0
  • 추가취재 원해요0

주요 뉴스

  • "여기도 품절이라고요?"…Z세대 '뷰티 방앗간' 된 다이소, 다음 대란템은? [솔드아웃]
  • ‘슈팅스타’ 오늘 첫 방송…‘큰 산’ 최강야구 넘을까? [해시태그]
  • 우리은행장 교체 수순…차기 행장 후보 내주 윤곽 나올 듯
  • 단독 부모-자녀 한 동네 사는 실버타운 만든다더니…오세훈표 '골드빌리지' 무산
  • ‘더 게임 어워드’ 올해의 게임 후보 6선…각 작품 경쟁력은? [딥인더게임]
  • "동덕여대 손해배상 상대 특정 어려워…소송 쉽지 않을 것"
  • 트럼프 등에 업은 머스크, 베이조스 겨냥…“그는 트럼프 패배 원했다”
  • 이재명, 또 입단속…“거친 언행 주의해달라”
  • 오늘의 상승종목

  • 11.22 장종료

실시간 암호화폐 시세

  • 종목
  • 현재가(원)
  • 변동률
    • 비트코인
    • 137,774,000
    • +0.21%
    • 이더리움
    • 4,660,000
    • +5.45%
    • 비트코인 캐시
    • 684,000
    • -6.3%
    • 리플
    • 1,960
    • +23.97%
    • 솔라나
    • 360,800
    • +5.62%
    • 에이다
    • 1,210
    • +9.8%
    • 이오스
    • 970
    • +7.42%
    • 트론
    • 279
    • +0%
    • 스텔라루멘
    • 399
    • +17.7%
    • 비트코인에스브이
    • 94,200
    • -12.21%
    • 체인링크
    • 21,100
    • +3.69%
    • 샌드박스
    • 493
    • +4.67%
* 24시간 변동률 기준