편의점 CU 앱서 개인정보 도용…‘포인트 탈취’ 시도

외부에서 이용자 계정 정보 탈취해 로그인
“생년월일·이메일·전화번호·주소 유출 의심”

씨유 모바일 앱인 ‘포켓씨유’ 갈무리

비지에프(BGF)리테일이 운영하는 편의점 씨유(CU) 모바일 애플리케이션에서 일부 고객의 아이디와 비밀번호가 도용됐다. 앞서 지난 2월에도 씨유는 중국 해커조직으로부터 서버를 해킹 당해 공식 누리집 운영을 중단한 바 있다.

27일 편의점 씨유에 따르면, 지난 25일 외부에서 모바일 멤버스 앱 ‘포켓씨유’의 이용자 계정 정보를 확보해 포인트를 탈취하려는 시도가 확인됐다. 이 사실을 확인한 씨유는 26일 오후 앱에 안내 배너를 띄워 고객들의 주의를 당부했다. 피해자는 600여명이며, 탈취된 포인트는 약 80만 포인트 정도다.

씨유는 ‘개인정보 도용(의심)에 대한 안내’라는 이 배너에서 “25일 외부 불상자가 다른 곳에서 확보한 것으로 추정되는 계정 정도(아이디·패스워드)로 포켓씨유에 로그인을 시도해 일부 고객의 포인트를 탈취하려는 시도가 있었다”며 “다른 사이트 등에서 사용하는 동일한 계정 정보를 수집한 후 포켓씨유에 이를 도용해 로그인한 것으로 의심된다”고 밝혔다. 씨유가 말하는 개인정보 도용은 ‘크리덴셜 스터핑’으로, 다른 곳에서 유출된 아이디와 패스워드를 여러 웹사이트나 앱에 무작위로 대입해 로그인을 시도하는 방식을 말한다. 유출이 의심되는 개인정보는 생년월일, 이메일, 전화번호, 주소 등이다.

씨유 관계자는 <한겨레>에 “일부 고객들이 포켓씨유 앱에 접속하지 않았음에도 접속이 됐다는 ‘알림’이 뜨자 씨유 쪽에 관련 사실을 알리면서 개인정보 탈취 시도 사실을 알게 됐다”며 “씨유 입장에서는 이런 무작위 대입 로그인도 ‘정상 접근’으로 파악되기 때문에 고객 신고가 없었다면 알아채기 어려웠을 것”이라고 말했다. 이어 “현재 확인된 600여명의 피해 고객들에게는 회사 차원에서 피해 포인트를 재적립해줬다”고 덧붙였다.

씨유는 사실을 인지한 즉시 고객 안내와 함께 포인트 선물하기 등 일부 기능을 중지시키는 등 피해 방지를 위한 사전 조치를 취했으며, 추가 피해를 막기 위해 경찰 등 관계기관과 협조 중이다.

씨유는 관련 문의나 피해가 의심되는 경우 고객센터(1588-8007)로 연락해 줄 것과 여러 사이트에서 동일한 계정을 사용할 경우, 정보보호를 위해 즉시 비밀번호를 변경해줄 것을 당부했다.

유선희 기자 duck@hani.co.kr