고전적 해킹 공격에 4년 전 당하고 또 당해
금전 결제 2단계 인증 절차 없어 피해 키워
유니버스 클럽·전체 그룹사에 악영향 우려

스타벅스 애플리케이션(앱)카드 이용자의 개인정보가 해킹돼 선불 충전금이 부정 결제됐다. 문제는 똑같은 해킹 수법으로 4년 전에 당하고도 그동안 아무런 대책을 마련하지 않은 채 손을 놓고 있었다는 사실이 밝혀져 비난이 커지고 있다.

스타벅스 해킹으로 90여명 정보 도용, 800여만 원 피해

스타벅스 코리아는 지난 12일 홈페이지를 통해 해외에서 불법으로 취득한 아이디와 패스워드를 이용한 충전금 부정 결제 사건이 발생했다고 밝혔다. 개인정보가 도용된 이용자는 90여 명이고 피해액은 800여만 원에 이르는 것으로 알려졌다.

스타벅스 측은 해외 IP를 통해 앱에 부정 로그인를 시도한 뒤 로그인에 성공하면 해당 계정의 충전금을 도용했다고 밝혔다. 이렇게 도용한 금액은 현금화가 손쉬운 텀블러 구매에 집중됐다고 한다. 현재 스타벅스 코리아는 해커의 해외 IP를 차단하고 관계기관에 신고했으며 피해가 확인된 고객에 대해서는 충전금을 전액 보전해줬다고 밝혔다.

스타벅스, 2단계 인증 절차 갖추지 않아 피해 확산

이번 스타벅스 해킹에 사용된 수법은 '크리덴셜 스터핑(Credential stuffing)'이라고 하는 고전적인 해킹 방법이다. 다른 웹사이트나 앱 등 여러 경로에서 불법으로 취득한 아이디와 비밀번호를 다른 웹사이트나 앱에 무작위로 대입해 로그인이 될 경우 해킹을 하는 방식이다. 대부분의 인터넷 이용자들이 여러 웹사이트나 앱에 동일한 아이디와 비밀번호를 설정한다는 점을 악용하는 수법이다.

이러한 수법의 해킹이 늘어나자 많은 웹사이트와 앱에서는 금전 결제가 수반되는 거래에 대해서는 2단계 인증 절차를 요구하지만 스타벅스에는 그러한 안전장치가 없었다. 아이디와 비밀번호만 맞아 떨어지면 바로 로그인이 가능하고 그 상태에서 별도의 인증절차 없이 충전금을 결제할 수 있었던 것이다.

4년 전에도 똑같은 해킹 공격에 피해 입고 똑같은 보상

문제는 스타벅스 코리아 4년 전에도 똑같은 수법의 해킹 공격을 받았다는 것이다. 2019년 8월 스타벅스 코리아는 일부 계정에서 잔액을 몰래 빼내려는 시도가 감지됐다면 회원들에게 주의할 것을 당부했다. 로그인 정보가 다른 웹사이트의 아이디와 비밀번호가 동일하다면 해킹을 방지하기 위해 주기적으로 비밀번호를 바꿔달라고 요청했다.

당시에도 스타벅스 코리아는 피해금액을 밝히지 않은 채, 부정 로그인으로 피해를 본 고객에 대해서는 피해금액을 바로 보상하고 있다고 밝혔다. 이번 해킹 사고와 수법이 동일한 것은 물론이고 보상절차까지 판박이처럼 같다. 

작년에는 아이디 중복 사고로 과태료 1000만 원 처분 받아

스타벅스 코리아의 보안 취약성은 작년에도 문제가 됐다. 홈페이지에 가입할 때 아이디 등이 중복되는지를 점검하는 시스템에 문제가 있었다. 이에 따라 다른 사람 계정으로 로그인되는 문제가 발생한 것이다. 이렇게 해서 유출된 개인정보가 4건에 달했지만 관계기관인 KISA(한국인터넷진흥원)에 신고조차 하지 않았다. 이 일로 개인정보보호위원회는 지난 1월 스타벅스 코리아에 대해 1000만 원의 과태료를 부과했다.

신세계 그룹은 최근 온·오프라인의 유통채널을 한 데 묶는 신세계 유니버스 클럽을 야심 차게 출범시켰다. 여기에는 물론 스타벅스도 포함돼 있다. 이제는 스타벅스의 해킹 피해가 전체 그룹사로 확산할 위험에 노출된 것이다. 더구나 스타벅스가 4년 전 해킹 사례에 그대로 노출된 것은 정보보호에 소홀하다는 비난을 피하기 어려워 보인다. 한 번의 사고는 '실수'일 수 있지만 거듭된 사고는 '실력'이라고 볼 수밖에 없기 때문이다.

KPI뉴스 / 김기성 대기자 bigpen@kpinews.kr

[ⓒ KPI뉴스. 무단전재-재배포 금지]