유통업계에 개인정보 유출 사고가 잇달아 발생하면서 소비자의 불안이 커지고 있다. 전날 스타벅스 앱이 도용돼 90여명의 충전금 800만원이 도용됐다. 보다 앞서 올해 초엔 인터파크와 CJ올리브영 등에서도 같은 사고가 있었다.

스타벅스 코리아는 지난 12일 홈페이지를 통해 “10일 불법 취득한 아이디, 패스워드를 무작위로 조합한 후 해외 IP를 통해 당사 앱에 부정 로그인한 시도가 있었다”며 “로그인에 성공한 계정의 충전금을 도용해 결제했다”고 공지했다. 이어 “당사는 해당 사건 확인 즉시 공격자의 해외 IP를 차단하고, 관계 기관에 신고했다”며 “피해가 확인된 고객의 충전금은 당사가 전액 보전했다”고 덧붙였다.

스타벅스는 여러 사이트에서 같은 아이디와 비밀번호를 사용하는 고객의 경우 관련 피해를 볼 수 있다고 설명했다. 이에 아이디와 비밀번호를 주기적으로 변경해달라고 요청했다. 스타벅스 관계자는 “현재 사건에 대해 경찰 조사 중”이라며 “불편함과 번거로움에 사과드린다. 재발 방지를 위해 강화된 인증 방안을 추가로 마련하겠다”고 밝혔다.

크리덴셜 스터핑 수법, 뭐 길래?

이번 해킹에는 외부 사이트에서 해킹한 아이디와 비밀번호를 스타벅스 앱 계정에 무작위로 대입하는 ‘크리덴셜 스터핑’ 수법이 사용된 것으로 추정된다. 크리덴셜 스터핑은 기존에 다른 곳에서 유출된 아이디(ID)와 패스워드(Password)를 여러 웹사이트나 앱에 대입해 로그인이 될 경우 개인정보나 자료를 유출하는 방법이다. 

복잡한 것을 싫어하는 많은 사람들이 모든 웹사이트나 앱에서 같은 아이디와 패스워드를 사용하는 것을 노린 방법이다. 이로 인한 피해 사례는 스타벅스 외에도 유통업계에서 종종 있어왔다.

CJ올리브영은 지난 2월 회원 이름과 프로필 사진, 등급, 배송지 등이 유출된 사고가 발생했다. 모바일 콘텐츠 전송 네트워크(CDN) 교체 작업 중 오류가 발생해 일부 고객들에 다른 고객들 정보가 누출됐다. 올리브영은 약 1만명 정보가 누출된 것으로 보고 있다. CJ올리브영은 회원 이름, 프로필 사진, 회원 등급, 배송지 주소가 유출됐다고 개인정보보호위원회에 신고했다.

인터파크는 지난 1월 동일한 아이피(IP) 주소로 1일 200만건 이상의 이용자 계정에 비정상적인 로그인 시도가 발생했다. 이에 이용자 개인정보 78만4920건이 유출됐다. 인터파크는 긴급공지를 통해 크리덴셜 스터핑으로 추정되는 공격을 받았으며 일부 회원의 개인정보가 유출됐을 가능성이 있다고 밝혔다. 당시 유출됐을 가능성이 있는 정보는 이메일, 성별, 생년월일, 전화/휴대전화번호, 주소, 멤버 등급이다.

지난 2019년에는 홈플러스에서 크리덴셜 스터핑 공격이 발생했다. 다만 유출된 정보는 없었다. 당시 홈플러스는 피해고객에게 패스워드를 즉시 초기화한 후 새로운 비밀번호를 사용하도록 이메일 및 문자메시지(LMS)로 개별 안내했다.

안세진 기자 asj0525@kukinews.com