KPI뉴스 - 스타벅스의 반복된 해킹 피해, '실수' 아닌 '실력'의 문제

  • 구름많음영월29.4℃
  • 구름많음태백28.0℃
  • 구름많음강화26.8℃
  • 구름많음금산30.9℃
  • 흐림인제29.8℃
  • 구름많음천안30.6℃
  • 구름많음제주27.6℃
  • 구름많음추풍령28.7℃
  • 구름많음의령군29.5℃
  • 구름많음밀양30.5℃
  • 구름많음산청28.3℃
  • 맑음광주30.9℃
  • 구름많음부안31.6℃
  • 흐림동두천28.7℃
  • 구름많음영천30.3℃
  • 구름많음보은28.7℃
  • 구름많음남해25.6℃
  • 구름많음남원30.3℃
  • 구름많음통영24.0℃
  • 구름많음문경29.2℃
  • 구름많음진도군28.3℃
  • 구름많음성산26.8℃
  • 흐림홍성30.9℃
  • 구름많음수원30.9℃
  • 맑음영광군30.6℃
  • 흐림서귀포27.4℃
  • 구름많음구미31.4℃
  • 박무부산26.2℃
  • 흐림홍천28.7℃
  • 흐림세종32.1℃
  • 흐림보령28.5℃
  • 흐림안동29.6℃
  • 구름많음대관령25.9℃
  • 구름많음의성30.7℃
  • 구름많음순창군29.8℃
  • 구름많음고흥26.5℃
  • 구름많음고산25.9℃
  • 흐림서울30.9℃
  • 구름많음강진군29.9℃
  • 흐림속초24.1℃
  • 구름많음동해27.0℃
  • 구름많음장흥28.3℃
  • 흐림이천31.8℃
  • 구름많음임실29.2℃
  • 구름많음함양군29.5℃
  • 구름많음양산시28.4℃
  • 구름많음거제25.3℃
  • 흐림영주28.2℃
  • 구름많음포항31.0℃
  • 구름많음북부산26.8℃
  • 구름많음순천26.6℃
  • 구름많음울진24.8℃
  • 구름많음충주29.9℃
  • 구름많음거창28.9℃
  • 구름많음경주시30.9℃
  • 흐림철원29.4℃
  • 구름많음제천28.8℃
  • 구름많음북강릉25.6℃
  • 맑음고창31.2℃
  • 구름많음정선군28.0℃
  • 구름많음청주33.0℃
  • 구름많음정읍32.3℃
  • 흐림원주30.6℃
  • 구름많음보성군27.5℃
  • 구름많음인천30.0℃
  • 구름많음진주27.5℃
  • 구름많음서청주31.1℃
  • 흐림백령도22.1℃
  • 맑음고창군30.6℃
  • 구름많음영덕28.4℃
  • 흐림서산31.1℃
  • 구름많음울산29.6℃
  • 구름많음흑산도23.8℃
  • 흐림군산31.4℃
  • 구름많음부여
  • 구름많음광양시27.8℃
  • 구름많음대전32.0℃
  • 구름많음창원27.8℃
  • 구름많음울릉도26.7℃
  • 구름많음전주31.5℃
  • 구름많음장수28.7℃
  • 흐림춘천30.4℃
  • 구름많음상주30.8℃
  • 구름많음합천30.1℃
  • 구름많음강릉26.7℃
  • 구름많음청송군31.2℃
  • 흐림북춘천30.5℃
  • 구름많음대구31.1℃
  • 구름많음북창원29.2℃
  • 구름많음파주27.7℃
  • 흐림양평30.8℃
  • 구름많음봉화28.0℃
  • 구름많음해남28.1℃
  • 구름많음완도28.1℃
  • 흐림여수25.0℃
  • 맑음목포30.0℃
  • 구름많음김해시26.8℃

스타벅스의 반복된 해킹 피해, '실수' 아닌 '실력'의 문제

김기성
기사승인 : 2023-07-18 11:42:37
고전적 해킹 공격에 4년 전 당하고 또 당해
금전 결제 2단계 인증 절차 없어 피해 키워
유니버스 클럽·전체 그룹사에 악영향 우려
스타벅스 애플리케이션(앱)카드 이용자의 개인정보가 해킹돼 선불 충전금이 부정 결제됐다. 문제는 똑같은 해킹 수법으로 4년 전에 당하고도 그동안 아무런 대책을 마련하지 않은 채 손을 놓고 있었다는 사실이 밝혀져 비난이 커지고 있다.

스타벅스 해킹으로 90여명 정보 도용, 800여만 원 피해

스타벅스 코리아는 지난 12일 홈페이지를 통해 해외에서 불법으로 취득한 아이디와 패스워드를 이용한 충전금 부정 결제 사건이 발생했다고 밝혔다. 개인정보가 도용된 이용자는 90여 명이고 피해액은 800여만 원에 이르는 것으로 알려졌다.

스타벅스 측은 해외 IP를 통해 앱에 부정 로그인를 시도한 뒤 로그인에 성공하면 해당 계정의 충전금을 도용했다고 밝혔다. 이렇게 도용한 금액은 현금화가 손쉬운 텀블러 구매에 집중됐다고 한다. 현재 스타벅스 코리아는 해커의 해외 IP를 차단하고 관계기관에 신고했으며 피해가 확인된 고객에 대해서는 충전금을 전액 보전해줬다고 밝혔다.

▲ 서울 여의도에 있는 스타벅스 매장 전경. [김지우 기자]

스타벅스, 2단계 인증 절차 갖추지 않아 피해 확산

이번 스타벅스 해킹에 사용된 수법은 '크리덴셜 스터핑(Credential stuffing)'이라고 하는 고전적인 해킹 방법이다. 다른 웹사이트나 앱 등 여러 경로에서 불법으로 취득한 아이디와 비밀번호를 다른 웹사이트나 앱에 무작위로 대입해 로그인이 될 경우 해킹을 하는 방식이다. 대부분의 인터넷 이용자들이 여러 웹사이트나 앱에 동일한 아이디와 비밀번호를 설정한다는 점을 악용하는 수법이다.

이러한 수법의 해킹이 늘어나자 많은 웹사이트와 앱에서는 금전 결제가 수반되는 거래에 대해서는 2단계 인증 절차를 요구하지만 스타벅스에는 그러한 안전장치가 없었다. 아이디와 비밀번호만 맞아 떨어지면 바로 로그인이 가능하고 그 상태에서 별도의 인증절차 없이 충전금을 결제할 수 있었던 것이다.

4년 전에도 똑같은 해킹 공격에 피해 입고 똑같은 보상

문제는 스타벅스 코리아 4년 전에도 똑같은 수법의 해킹 공격을 받았다는 것이다. 2019년 8월 스타벅스 코리아는 일부 계정에서 잔액을 몰래 빼내려는 시도가 감지됐다면 회원들에게 주의할 것을 당부했다. 로그인 정보가 다른 웹사이트의 아이디와 비밀번호가 동일하다면 해킹을 방지하기 위해 주기적으로 비밀번호를 바꿔달라고 요청했다.

당시에도 스타벅스 코리아는 피해금액을 밝히지 않은 채, 부정 로그인으로 피해를 본 고객에 대해서는 피해금액을 바로 보상하고 있다고 밝혔다. 이번 해킹 사고와 수법이 동일한 것은 물론이고 보상절차까지 판박이처럼 같다. 

작년에는 아이디 중복 사고로 과태료 1000만 원 처분 받아

스타벅스 코리아의 보안 취약성은 작년에도 문제가 됐다. 홈페이지에 가입할 때 아이디 등이 중복되는지를 점검하는 시스템에 문제가 있었다. 이에 따라 다른 사람 계정으로 로그인되는 문제가 발생한 것이다. 이렇게 해서 유출된 개인정보가 4건에 달했지만 관계기관인 KISA(한국인터넷진흥원)에 신고조차 하지 않았다. 이 일로 개인정보보호위원회는 지난 1월 스타벅스 코리아에 대해 1000만 원의 과태료를 부과했다.

신세계 그룹은 최근 온·오프라인의 유통채널을 한 데 묶는 신세계 유니버스 클럽을 야심 차게 출범시켰다. 여기에는 물론 스타벅스도 포함돼 있다. 이제는 스타벅스의 해킹 피해가 전체 그룹사로 확산할 위험에 노출된 것이다. 더구나 스타벅스가 4년 전 해킹 사례에 그대로 노출된 것은 정보보호에 소홀하다는 비난을 피하기 어려워 보인다. 한 번의 사고는 '실수'일 수 있지만 거듭된 사고는 '실력'이라고 볼 수밖에 없기 때문이다.

KPI뉴스 / 김기성 대기자 bigpen@kpinews.kr

[저작권자ⓒ KPI뉴스. 무단전재-재배포 금지]

김기성
김기성

기자의 인기기사