“충전금 800만원 털렸다”...스타벅스 앱 90여명 해킹 당해

불법 취득 아이디·패스워드 조합→부정 로그인
스타벅스 “피해 충전금 전액 보상”

스타벅스 로고. (출처=연합뉴스)

스타벅스 애플리케이션(앱)에서 이용자 90여명 계정이 해킹돼 충전금 약 800만원이 부정 결제되는 피해가 발생했다.

스타벅스코리아는 지난 7월 12일 홈페이지를 통해 “10일 불법 취득한 아이디, 패스워드를 무작위로 조합한 후 해외 IP를 통해 당사 앱에 부정 로그인한 시도가 있었다”며 “로그인에 성공한 계정의 충전금을 도용해 결제했다”고 공지했다.

현재까지 스타벅스에 접수된 피해 건수는 약 90건이며, 피해 금액은 800만원 정도로 파악된다. 스타벅스코리아는 문제가 된 해외 IP를 차단하고 피해 계정 충전금을 전액 보상할 방침이다.

이번 공격에 사용된 해킹 방법은 외부에서 대량으로 확보한 아이디와 비밀번호 등 이용자 정보를 다른 사이트 계정에 무작위로 대입하는 ‘크리덴셜 스터핑(Credential Stuffing)’으로 추정된다.

여러 앱에서 이용자가 동일 아이디와 비밀번호를 사용하는 것을 노린 것이다. 신용카드와 연계된 자동충전 기능을 통한 결제를 반복하는 방식으로 이뤄지고 있어, 피해 사실을 인지하지 못한 소비자도 있을 것이라는 분석이다.

심지어 스타벅스 앱은 아이디와 비밀번호만 입력하면 별도의 인증 절차 없이 앱 카드에 충전한 금액을 결제할 수 있어 피해가 빠르게 확산될 수 있다.

스타벅스코리아 공지. (스타벅스코리아 홈페이지 화면 캡처)

스타벅스코리아는 재발 방지를 위해 강화된 인증 방안을 추가로 마련한다고 밝혔다. 우선 안드로이드 스마트폰에서 앱 화면 캡처 기능을 막았고 조만간 아이폰에서도 앱 화면 캡처 기능을 막을 예정이다. 또 고객에게 아이디와 비밀번호를 주기적으로 변경해달라고 당부했다.

한편 스타벅스코리아에 고객이 쌓아둔 선불 충전금은 2022년 기준 2983억원으로, 3000억원에 육박한다. 1년 새 400억원이나 증가했다.