불법 취득한 아이디·비번 조합으로 로그인...스타벅스 충전금 800만원 결제 도용 발생

해킹한 아이디, 비번 조합해 스벅 앱 로그인 시도
90여명 피해...스타벅스 "IP차단 후 전액 보전"

10일 외부 사이트에서 취득한 아이디와 비밀번호를 조합해 스타벅스코리아 앱에 로그인을 시도, 충전금을 도용한 사건이 발생하자 13일 스타벅스코리아가 공식 홈페이지에 공지한 '일부 계정 도용 거래 주의 안내'. 스타벅스코리아 홈페이지 캡처

스타벅스코리아 앱에 부정 로그인을 시도, 고객 90여 명의 충전금 약 800만 원을 도용한 사건이 발생했다. 스타벅스코리아는 문제가 된 IP를 차단하고 도용된 계정의 충전금을 전액 보전했다.

13일 스타벅스코리아는 자사 홈페이지를 통해 "10일 외부에서 불법 취득한 아이디와 패스워드를 무작위로 조합한 후 해외 IP를 통해 앱에 부정 로그인한 시도가 있었다"고 밝혔다. 부정 로그인에 성공한 계정에서는 고객의 충전금을 도용했다.

스타벅스코리아는 이번 공격에 사용된 해킹방법을 외부에서 대량으로 확보한 아이디와 비밀번호 등 이용자 정보를 다른 사이트의 계정에 무작위로 대입하는 '크리덴셜 스터핑'으로 추정했다. 일반적으로 여러 앱에서 이용자가 동일 아이디와 비밀번호를 사용하는 것을 노린 것이다.

스타벅스코리아는 사건 확인과 함께 공격자의 해외 IP를 차단하고 관계 기관에 신고했다고 밝혔다. 고객에겐 비밀번호 재설정 안내 등 추가 조치를 했다. 일부 피해가 확인된 고객의 충전금은 회사 차원에서 전액 보전했다. 지금까지 스타벅스코리아가 파악한 피해 사례는 90여 건으로 도용된 충전금은 약 800만 원에 달한다.

스타벅스코리아는 재발 방지를 위해 강화된 인증 방안을 추가로 마련한다고 밝혔다. 먼저 안드로이드 스마트폰에서 앱 화면 캡처 기능을 막았고 조만간 아이폰에서도 앱 화면 캡처 기능을 막을 예정이다. 스타벅스코리아 관계자는 "앱의 바코드를 캡처해 다른 사람과 공유하는 경우가 있는데 이를 막기 위한 것"이라고 말했다.

스타벅스코리아는 공지문을 통해 "고객들의 개인정보와 자산을 보호하기 위한 최선의 노력을 다하겠다"며 "불편함과 번거로움에 머리 숙여 사과드린다"고 밝혔다. 스타벅스코리아는 "사고 예방을 위해 아이디와 비밀번호를 여러 사이트에서 동일하게 사용하는 고객은 주기적으로 변경해 달라"고 주문했다.

박소영 기자 sosyoung@hankookilbo.com