쇼핑몰 아이디·비번 돌려쓰다간?…상품권 해킹 아찔?
전체 맥락을 이해하기 위해서는 본문 보기를 권장합니다.
이머스 플랫폼에서 이미 확보한 고객 개인정보로 온라인 상품권 등을 탈취하는 해킹 공격이 반복해서 발생하고 있다.
각종 플랫폼에서 같은 아이디와 비밀번호를 돌려쓴다는 허점을 이용한 온라인 범죄로 이용자와 기업 등의 주의가 요구된다.
크리덴셜 스터핑은 이미 유출됐거나 사전에 탈취한 아이디와 비밀번호를 해커가 다른 플랫폼에 무작위로 대입해 개인정보 등을 빼가는 수법이다.
이 글자크기로 변경됩니다.
(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.
G마켓 “크리덴셜 스터핑 추정…조사 후 적극적 피해 보상”
이머스 플랫폼에서 이미 확보한 고객 개인정보로 온라인 상품권 등을 탈취하는 해킹 공격이 반복해서 발생하고 있다. 각종 플랫폼에서 같은 아이디와 비밀번호를 돌려쓴다는 허점을 이용한 온라인 범죄로 이용자와 기업 등의 주의가 요구된다.
지마켓에서 문화상품권을 구매한 소비자들이 19일 본인도 모르게 상품권이 빼돌려지는 사태가 잇따랐다. 개인정보보호위원회는 이와 관련 최근 개인정보 유출 정황이 확인된 온라인 쇼핑몰을 조사하고 있다며 온라인쇼핑몰을 중심으로 ‘크리덴셜 스터핑’이 빈발하는 만큼 주의해야 한다고 당부했다.
20일 이커머스 업계와 개인정보보호위원회 등의 설명을 종합하면, 최근 지(G)마켓과 인터파크 등에서 확인되지 않은 인터넷 주소(IP)로 로그인을 시도해 개인정보를 탈취하려는 피해가 잇따라 발생했다. 지마켓의 경우 100만원짜리 온라인 상품권을 도난당하고 앱 자동 결제까지 시도한 피해도 발생했다.
G마켓에서 구입·충전한 미사용 상품권이 사용한 것으로 처리되는 상품권 도용 피해가 잇따르고 있다. G마켓은 20일 입장문을 낸 뒤 상품권 도용 피해를 인정하고 피해 보상 대책을 밝혔다.
최근 온라인 커뮤니티에는 G마켓에서 구매·충전한 미사용 상품권이 사용 처리됐다는 게시글이 다수 게재됐다.
A씨는 “올초 G마켓에서 문화상품권 5만원권을 구입했는데 핀(PIN) 번호를 노출한 적이 없지만 컬쳐캐시로 충전됐다고 나온다”고 말했다.
B씨는 “간편결제 서비스 스마일페이에서 미사용 상품권 결제 시도가 있었다”고 전했다.
이커머스 업체들은 이번 피해가 ‘크리덴셜 스터핑’(Credential Stuffing) 공격으로 발생했다고 보고 있다. 크리덴셜 스터핑은 이미 유출됐거나 사전에 탈취한 아이디와 비밀번호를 해커가 다른 플랫폼에 무작위로 대입해 개인정보 등을 빼가는 수법이다.
크리덴셜 스터핑은 이미 유출됐거나 사전에 탈취한 아이디와 비밀번호를 다른 플랫폼에 무작위로 대입해 개인정보를 빼가는 수법이다.
여러 사이트에서 동일한 아이디와 패스워드를 사용하는 소비자 계정을 도용해 상품권 PIN 번호를 탈취한 것으로 보인다고 G마켓은 설명했다.
이에 G마켓은 “소비자 개인 정보가 유출될 가능성은 없다”며 “크리덴셜 스터핑(Credential Stuffing) 공격으로 추정된다”고 설명했다.
G마켓은 이날 낸 입장문에서 “사건 인지 후 아이디와 비밀번호를 변경할 것을 요청하고 본인인증 절차를 강화하는 등 추가 피해를 막기 위한 조치를 했다”며 “사이버수사대 등 관련 기관과 협조해 투명하게 사건에 대응하겠다”고 말했다.
이어 “문화상품권 PIN 번호가 홈페이지에 보이는 문제를 인식했다”며 “전자 문화상품권 구매 시 본인인증 절차 강화 등 기술적인 개선안을 마련하겠다”고 덧붙였다.
G마켓은 사고 조사가 완료되는 대로 피해 보상을 할 예정이다.
Copyright © 국제신문. 무단전재 및 재배포 금지.