스타벅스, 앱카드 해킹 당한 줄도 몰라…고객 충전금 털려

스타벅스 8일 고객 첫 신고에도 10일에야 대응
“아이디·비번 외 별도 인증절차 없어 허술” 비판

스타벅스 코리아에서 앱카드 해킹 사건이 발생했다. 연합뉴스

스타벅스 코리아에서 해킹사건이 발생해 앱카드 부정결제가 잇따르고 있다. 해킹을 통해 탈취한 개인계정 충전금을 무단으로 수십만원씩 한꺼번에 사용하는 방식이라 피해규모가 늘어날 것으로 보인다. 스타벅스 코리아는 관계기관에 신고하고 누리집에 공지문을 올리는 등 대응에 나섰다. 하지만 고객의 첫 신고가 8일에 이뤄졌음에도 바로 대응에 나서지 않고 시간을 끌어 추가 피해를 키웠다는 비난을 피하기 어려울 것으로 보인다.

13일 스타벅스 코리아는 “지난 10일부터 외부에서 불법 취득한 아이디와 패스워드 등을 무작위로 조합해 스타벅스 앱에 로그인을 시도하는 해킹 시도가 확인됐다”며 “이에 따라 일부 이용자의 앱카드 충전금이 부정으로 사용되는 등 피해가 발생했다”고 밝혔다.

한 누리꾼이 올린 앱카드 해킹 피해 사진. 커뮤니티 갈무리

이번 공격에 사용된 해킹 방법은 외부에서 대량으로 확보한 아이디와 비밀번호 등 이용자 정보를 다른 계정에 무작위로 대입하는 ‘크리덴셜 스터핑’인 것으로 추정된다. 최근에도 편의점 씨유 앱 등이 이런 방식의 공격을 받아 적립금이 털리는 등의 피해가 발생한 바 있다. 일반적으로 여러 앱에서 동일한 아이디와 비밀번호를 사용하는 이용자의 패턴을 노린 수법이다.

스타벅스는 8일에 처음으로 피해고객의 신고가 있었음에도 시간을 끌다 10일에서야 사태를 파악한 것으로 드러났다. 첫 신고 당시엔 단건 피해로 생각해 적극적인 대응에 나서지 않았던 것이다. 스타벅스 코리아 관계자는 “추가 신고가 이어지면서 10일 모니터링을 통해 조직적 공격임을 파악했고, 즉시 공격자 아이피(IP)를 차단하고 한국인터넷진흥원 등 관계기관에 신고했다”며 “추가 피해 발생을 막기 위해 전날인 12일 스타벅스 누리집에 공지문을 올렸다”고 설명했다. 이 관계자는 “현재 확인된 피해 건수와는 90여건이며, 피해 금액은 800여만원 정도로 파악된다”며 “확인되는 피해 금액에 관해서는 즉시 전액 보상할 방침”이라고 덧붙였다.

스타벅스 앱은 아이디와 비밀번호만 입력하면 별도 인증절차 없이 앱 카드에 충전한 금액을 사용할 수 있어 해킹 공격에 취약했던 것 아니냐는 비판이 일고 있다. 다만 스타벅스 쪽은 “개인정보는 휴대전화 인증을 통해서만 확인할 수 있어 충전금 피해 외에 별도의 개인정보 유출은 없었다”고 말했다.

유선희 기자 duck@hani.co.kr