이번엔 상품권 무단 결제 사고?…“외부서 유출된 개인정보 악용”

KT알파 기프티쇼서 상품권 무단 결제
“피해 결제 전액 환불…보안 강화”
연이은 개인정보 사고에 소비자 불안 확산

KT알파. (사진=연합뉴스)

KT의 홈쇼핑 자회사 KT알파에서 상품권이 무단 결제되는 사고가 발생했다. 쿠팡 등 주요 플랫폼에서 개인정보 유출 사태가 발생한 데 이어 실제 피해 사례까지 잇따르자 소비자 불안이 확산되고 있다.

26일 KT알파는 외부에서 유출된 계정 정보를 이용한 ‘부정 로그인(계정 도용)’ 사고로 일부 이용자 개인정보가 유출됐다고 공지했다. 유출 사고는 이달 12일부터 14일 사이에 일어났다. 유출 항목은 모바일상품권 발송자 이름과 휴대전화 번호다. 또한 최근 모바일 선물 서비스 플랫폼 ‘기프티쇼’에서 상품권이 무단 결제됐다며 피해 사실을 공지·개별 통지하고 피해 확산을 막는 방법을 안내했다.

해당 사고는 고객센터 신고를 통해 14일 인지됐다. 앞서 고객센터에 “앱에 등록된 체크카드로 결제가 시도됐다” “해킹이 의심된다” 등 문의가 잇따라 접수됐다. 기프티쇼에서 간편결제에 등록된 카드로 50만원 상당 상품권이 수차례 무단 결제됐다는 신고도 있었다. 간편결제 서비스는 별도 비밀번호 입력이나 생체 인증 없이 클릭만으로 결제가 가능한 구조다.

이후 15일 KT알파는 피해 금액을 전액 결제 취소했다. 같은 날 경찰과 한국인터넷진흥원, 개인정보보호위원회 등 관계 기관에도 신고했다. 회사 측은 “이번 사고는 해커가 외부에서 불법 수집된 개인정보를 이용해 계정에 접속한 뒤 결제를 진행하는 ‘계정 도용’ 수법을 사용한 것으로 파악했다”고 밝혔다. 쿠팡 대규모 개인정보 유출 사태처럼 내부자 해킹이나 시스템 침입은 아니라는 설명이다.

또한 KT알파는 “정확한 피해 규모와 범행 방식 등은 현재 조사가 진행되고 있어 밝힐 수 없다”며 “사고 이후 부정 로그인을 차단하고 보안 모니터링을 강화하는 조치를 진행했다”고 설명했다. 이어 “시스템 해킹을 통한 데이터베이스(DB) 직접 유출은 아니지만 비밀번호 변경을 권고한다”고 덧붙였다.

KT알파 보안 사고는 이번이 처음이 아니다. 앞서 2023년 1월부터 지난해 2월까지 ‘크리덴셜 스터핑’ 해킹 공격을 받아 회원 계정 9만8000개가 탈취됐다. 크리덴셜 스터핑은 사전에 확보한 다수 ID와 비밀번호를 무작위로 입력해 로그인을 시도하는 방식이다. 이 사고로 올해 4월 KT알파는 개인정보보호위원회로부터 과징금 491만원, 과태료 690만원을 부과받았다.