지마켓 고객 개인정보가 도용됐다. 크리덴셜 스터핑(무차별 대입) 공격을 받은 일부 계정에 피해가 났다. 고객이 구매한 모바일 상품권 핀번호도 대거 도난당했다.
19일 온라인 커뮤니티를 중심으로 G마켓에서 구매한 모바일상품권 피해 사례가 확산함에 따라 회사 측은 접속자 전원에게 본인인증 재확인 및 비밀번호 변경을 공지했다. 피해 사례 대부분은 결제 후 보관하고 있던 미사용 상품권이 무단 사용됐다는 내용이다.
한 이용자는 이번 사태로 상품권 100만원어치를 도난당했다. 당시 IP 접속 기록을 보면 지난 14일 미상의 IP가 피해자 계정으로 지마켓에 접속한 뒤 보관돼 있던 미등록 상품권 핀번호를 탈취해서 무단 결제한 것으로 나타났다. 고객센터는 해당 고객에 중국에서 접속한 IP로 추정된다고 안내했다.
해당 피해자는 “지마켓은 연락처 등록이 없이도 쿠폰 구매 내역만 보면 사용 여부와 핀번호까지 다 열람할 수 있는 구조”라면서 “회사 귀책사유가 크다고 보고 피해 보상을 요구할 계획”이라고 말했다.
지마켓 측은 이번 사태와 관련해 해킹을 비롯한 외부 세력에 의한 의심스러운 서버 접근은 없었다는 입장이다. 지마켓에서만 집중 피해가 발생한 배경으로는 크리덴셜 스터핑을 원인으로 추정했다. 크리덴셜 스터핑은 유출된 이용자 개인정보 기반으로 비밀번호를 무작위 대입해서 로그인을 시도하는 방식을 의미한다.
지마켓 관계자는 “개인정보 도용에 대한 정황이 의심돼 관련 계정 폐쇄 및 블록 등 신속 조치했고, 현재 피해 규모를 파악하는 후속조치 중”이라고 말했다. 이 관계자는 “회사의 귀책사유가 확인되면 보상할 예정이고, 개선방안을 마련하고 있다”면서 “이용자에게는 사이버수사대 신고를 안내하고 있으며, 수사 결과에 따라 구체적 결론이 날 것”이라고 설명했다.
지마켓 간편결제 서비스 '스마일페이'를 통해 결제사고가 발생했다는 신고 사례도 잇따르면서 이용자들은 스마일페이 등록된 신용카드를 삭제하는 등 추가 피해를 막기 위한 대응에 나섰다.
결제업계는 이번 사태가 명백한 보안사고라는 견해를 내놓고 있다. 모바일상품권을 판매하는 전자금융업자로서 소비자 보호 의무가 미흡했다는 지적이다. 한 전자금융 전문가는 “지마켓 계정과 비밀번호가 유출됐더라도 상품권 핀번호 열람 페이지는 별도 보안 체계를 갖췄어야 한다”고 설명했다.
롯데온, SSG닷컴, 티몬은 계정이 도용당하더라도 구매 페이지에서는 상품권 핀번호를 볼 수 없도록 암호화돼 있다. 계정에 등록된 전화번호 문자메시지를 통해서만 핀번호를 확인할 수 있다. 티몬도 문화상품권 등 비연동 상품은 계정에 등록된 전화번호 문자메시지를 통해서만 핀번호를 확인할 수 있다. 메시지가 실수로 삭제되면 재발송을 통해서만 발급이 가능하다. 위메프는 구매내역에서 상품권 핀번호가 확인 가능하지만 이상 로그인 탐지 시스템 운영을 통해 의심 징후 포착 시 휴대폰 인증 등 2차 인증 프로세스를 적용하도록 보안을 강화했다.
보안구조가 비슷한 11번가는 같은 위험에 노출될 수 있는 만큼 보안조치를 강화하기로 했다. 11번가 관계자는 “오늘 중 2차 인증을 거치도록 시스템을 업데이트할 예정”이라고 말했다.
한편 이번 사태와 관련, 개인정보보호위원회도 개인정보 유출 정황이 확인된 온라인쇼핑몰에 대한 조사를 시작했다. 개보위는 “위법사항 발견시 개인정보보호법에 따라 엄정히 처리할 예정”이라고 밝혔다.
박준호기자 junho@etnews.com, 이형두기자 dudu@etnews.com, 최호기자 snoop@etnews.com