쇼핑몰 아이디·비번 돌려쓰신다면…상품권 해킹 주의하세요

G마켓·인터파크 등 ‘크리덴셜 스터핑’ 공격 잇따라
아이디·비번 돌려쓰기 허점, 해킹 성공률 높아

최근 온라인 플랫폼을 중심으로 ‘크리덴셜 스터핑’ 등 계정정보 도용 피해가 빈번히 발생하고 있다. 픽사베이

이(e)커머스 플랫폼에서 이미 확보한 고객 개인정보로 온라인 상품권 등을 탈취하는 해킹 공격이 반복해서 발생하고 있다. 각종 플랫폼에서 같은 아이디와 비밀번호를 돌려쓴다는 허점을 이용한 온라인 범죄로 이용자와 기업 등의 주의가 요구된다.

20일 이커머스 업계와 개인정보보호위원회 등의 설명을 종합하면, 최근 지(G)마켓과 인터파크 등에서 확인되지 않은 인터넷 주소(IP)로 로그인을 시도해 개인정보를 탈취하려는 피해가 잇따라 발생했다. 지마켓의 경우 100만원짜리 온라인 상품권을 도난당하고 앱 자동 결제까지 시도한 피해도 발생했다.

이커머스 업체들은 이번 피해가 ‘크리덴셜 스터핑’(Credential Stuffing) 공격으로 발생했다고 보고 있다. 크리덴셜 스터핑은 이미 유출됐거나 사전에 탈취한 아이디와 비밀번호를 해커가 다른 플랫폼에 무작위로 대입해 개인정보 등을 빼가는 수법이다. 지마켓 관계자는 “최근 온라인 상품권 등을 구매한 고객들을 대상으로 개인정보 변경 안내 공지를 보낸 상황”이라며 “개인정보위 조사 상황을 지켜본 뒤 추후에 도의적인 피해 보상 여부 등을 검토할 것”이라고 말했다. 인터파크도 “개인정보위에 신고한 뒤 정확한 피해 상황 등을 조사 중”이라고 밝혔다.

온라인 커뮤니티에 지(G)마켓에서 개인정보를 도용했다는 피해 글이 잇따라 올라왔다. 트위터(@museun-happen) 갈무리

크리덴셜 스터핑의 성공 확률은 다른 해킹 공격보다 높다. 다수의 이용자가 온라인 플랫폼에서 똑같은 아이디와 비밀번호를 사용하고 있어서 한 플랫폼 정보만 얻으면 다른 플랫폼 로그인에 성공할 확률이 높아지기 때문이다. 업계에선 유출된 개인정보 수백만건을 이용해 크리덴셜 스터핑에 성공할 확률을 0.2% 안팎으로 본다. 해커가 획득한 개인정보가 100만건이라면 2천건을 성공하는 셈이다. 한국인터넷진흥원 등은 해외 웹사이트에서 유통되는 국내 개인정보 개수가 2천만건 이상일 것으로 보고 있다.

크리덴셜 스터핑은 이전부터 게임에 접속해 아이템 등을 탈취하기 위한 수법으로 악용됐다. 게임상 아이템이 온라인에서 수백만원에 거래되는 점을 노린 범죄로 국내 게임 유저들의 피해가 잇따랐다. 하지만 최근 이커머스에서 현금처럼 쓰는 쿠폰 사용이 늘면서 대상이 온라인 쇼핑 쪽으로 옮겨갔다. 이커머스들이 간단한 비밀번호나 클릭 한번으로 결제할 수 있는 자체 결제 서비스를 도입하면서 정보 도용 위험도 커지고 있다.

크리덴셜 스터핑 피해의 경우 책임 소재가 불분명해 이용자의 각별한 주의가 요구된다. 특정 이커머스에서 해킹이 발생해 개인정보가 유출된 것이 아니라면 크리덴셜 스터핑의 소스인 1차 정보가 어디서부터 유출됐는지 밝혀내기 어렵다. 누리집에 로그인한 기록만 남고, 로그인을 시도한 기록은 남지 않아 공격 규모와 유출된 개인정보 수를 알 수 없다는 한계도 있다.

익명을 요청한 이커머스 관계자는 “대부분 업체가 불특정 로그인 시도로 트래픽이 몰리는 것을 감지하거나 반복해서 잘못된 비밀번호를 입력할 경우 로그인을 차단하는 등의 기능을 플랫폼에 적용하고 있어서 크리덴셜 스터핑 피해의 경우 업체의 개인정보 보호 조치가 미흡했다고 보기 어려운 부분이 있다”고 말했다.

이에 대해 개인정보위는 “같은 아이디와 비밀번호로 여러 누리집을 이용하는 경우 비밀번호를 바꾸고, 되도록 생체 인증, 문자 인증 등 2차 인증을 거치게 설정해달라”고 당부했다. 이어 “계정 정보 도용이 신고된 온라인쇼핑몰에 대한 조사를 진행하고 있으며, 위법 사항 발견 시 개인정보보호법에 따라 엄정히 처리할 방침”이라고 밝혔다.

옥기원 기자 ok@hani.co.kr 임지선 기자 sun21@hani.co.kr