스타벅스 앱 해킹, 4년 전 사고 반복
전체 맥락을 이해하기 위해서는 본문 보기를 권장합니다.
스타벅스 앱 카드 사용자 일부가 해킹으로 인해 부정결제되는 사고가 발생했다.
올해 초 개인정보 유출로 1천만 원의 과태료를 지불했음에도 4년 전과 같은 일이 반복됐다.
13일 스타벅스코리아는 공식 홈페이지를 통해 "10일 외부에서 불법 취득한 아이디와 패스워드를 무작위로 조합한 후 해외 IP를 통해 앱에 부정 로그인한 시도가 있었다"고 밝혔다.
스타벅스 코리아에 따르면 이용자 90여명의 계정이 해킹돼 충전금 약 800만 원이 부정결제 된 것으로 나타났다.
이 글자크기로 변경됩니다.
(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.
(지디넷코리아=남혁우 기자)스타벅스 앱 카드 사용자 일부가 해킹으로 인해 부정결제되는 사고가 발생했다. 올해 초 개인정보 유출로 1천만 원의 과태료를 지불했음에도 4년 전과 같은 일이 반복됐다.
13일 스타벅스코리아는 공식 홈페이지를 통해 "10일 외부에서 불법 취득한 아이디와 패스워드를 무작위로 조합한 후 해외 IP를 통해 앱에 부정 로그인한 시도가 있었다"고 밝혔다.
스타벅스코리아는 사건 확인과 함께 공격자의 해외 IP를 차단하고 관계 기관에 신고했다고 밝혔다. 고객에겐 비밀번호 재설정 안내 등 추가 조치를 했다. 또한, 일부 피해가 확인된 고객의 충전금은 회사 차원에서 전액 보전했다고 밝혔다.
이번 해킹은 '크리덴셜 스터핑'이라 불리는 공격 방법이 사용됐다. 크리덴셜 스터핑은 일반적으로 이용자가 여러 앱에서 동일 아이디와 비밀번호를 사용하는 것을 노린 공격 방식이다. 외부에서 확보한 다수의 개인 아이디와 패스워드 대입을 반복하며 로그인을 시도한다.
이를 통해 로그인에 성공한 계정에서만 충전금을 결제 후 도용한 것이다. 스타벅스 코리아에 따르면 이용자 90여명의 계정이 해킹돼 충전금 약 800만 원이 부정결제 된 것으로 나타났다.
최근 크리덴셜 스터핑은 ‘초기 침투 전문 브로커’(IAB, 일명, 인포스틸러)의 등장으로 급격하게 늘고 있는 공격방법이다. IAB로부터 아이디와 패스워드, 해킹툴만 구입하면 바로 시도할 수 있을 정도로 구조가 간단하기 때문이다.
하지만 문제는 지난 2019년에도 동일한 공격으로 인해 사용자 피해가 발생한 사례가 있다는 것이다.
또한 올해 초에도 스타벅스를 운영하는 에스씨케이(SCK)컴퍼니가 홈페이지를 고도화하는 과정에서 개인정보 유출했음에도 이를 당국에 신고하지 않아 개인정보보호위원회로부터 1천만 원의 과태료를 부과 받았다. 더불어 당시 스타벅스의 클라우드 시스템은 보안이 취약해, 고객의 예치금 등이 탈취될 수 있다는 의혹도 제기된 바 있다.
남혁우 기자(firstblood@zdnet.co.kr)
Copyright © 지디넷코리아. 무단전재 및 재배포 금지.
- 과징금 폭탄 맞은 인크루트, 개인정보위 제재 사유 반박
- 한국인 겨냥한 전문 보이스피싱 그룹 등장
- 금전 이익 노린 해킹그룹, 랜섬웨어 더 늘어난다
- TSMC, 해커 그룹에 당했다…"920억원 안주면 데이터 공개"
- 수능 끝 첫 주말, 지스타2024 학생 게임팬 대거 몰려
- 세일즈포스發 먹통에 日 정부도, 韓 기업도 '마비'
- 삼성 차세대폰 갤럭시S25, 언제 공개되나
- 대기업 3Q 영업익 증가액 1위 SK하이닉스...영업손실 1위 SK에너지
- 머스크의 우주기업 ‘스페이스X’, 기업가치 약 349조원 평가 전망
- [인터뷰] 베슬에이아이 "AI 활용을 쉽고 빠르게…AGI 시대 준비 돕겠다"