KPI뉴스 - 스타벅스의 반복된 해킹 피해, '실수' 아닌 '실력'의 문제

  • 구름많음김해시26.2℃
  • 맑음산청27.4℃
  • 안개백령도22.2℃
  • 구름많음이천30.3℃
  • 흐림강릉26.0℃
  • 구름많음보은28.2℃
  • 구름많음북창원28.4℃
  • 구름많음동해25.6℃
  • 흐림인제28.2℃
  • 구름많음제천27.5℃
  • 맑음남원29.4℃
  • 흐림북춘천29.5℃
  • 흐림정선군26.5℃
  • 구름많음진도군26.6℃
  • 구름많음영월28.1℃
  • 구름많음정읍30.1℃
  • 구름많음보성군26.0℃
  • 구름많음금산29.5℃
  • 구름많음합천29.0℃
  • 구름많음통영23.8℃
  • 구름많음진주27.2℃
  • 흐림파주26.8℃
  • 흐림서청주30.1℃
  • 구름많음고창29.7℃
  • 흐림인천29.2℃
  • 흐림천안29.9℃
  • 구름많음목포29.3℃
  • 흐림대관령25.5℃
  • 맑음상주29.1℃
  • 구름많음대구30.5℃
  • 구름많음태백26.6℃
  • 흐림원주30.3℃
  • 흐림보령27.8℃
  • 구름많음서귀포26.8℃
  • 구름많음울산28.5℃
  • 구름많음포항29.8℃
  • 구름많음남해25.3℃
  • 구름많음의성30.8℃
  • 구름많음울릉도25.3℃
  • 구름많음부안30.2℃
  • 구름많음광양시26.5℃
  • 흐림춘천30.2℃
  • 흐림철원28.5℃
  • 구름많음부산25.8℃
  • 구름많음전주30.2℃
  • 맑음추풍령27.6℃
  • 흐림서산29.3℃
  • 흐림홍성30.0℃
  • 맑음함양군28.0℃
  • 구름많음장수27.9℃
  • 흐림동두천27.7℃
  • 구름많음양평30.1℃
  • 구름많음밀양29.4℃
  • 흐림세종29.0℃
  • 흐림완도26.5℃
  • 흐림흑산도23.6℃
  • 구름많음양산시27.2℃
  • 구름많음성산26.1℃
  • 흐림부여30.4℃
  • 구름많음영주27.6℃
  • 구름많음여수25.1℃
  • 흐림대전30.5℃
  • 구름많음장흥26.6℃
  • 맑음거창27.9℃
  • 구름많음순천25.9℃
  • 구름많음고흥25.4℃
  • 구름많음북부산26.0℃
  • 흐림속초24.0℃
  • 구름많음해남26.3℃
  • 흐림서울30.4℃
  • 구름많음청송군29.6℃
  • 흐림홍천28.4℃
  • 흐림수원30.6℃
  • 구름많음영광군29.5℃
  • 구름많음청주31.8℃
  • 구름많음고산25.4℃
  • 구름많음경주시29.9℃
  • 구름많음안동29.7℃
  • 맑음임실28.3℃
  • 구름많음광주29.1℃
  • 구름많음강진군27.8℃
  • 흐림봉화26.7℃
  • 구름많음영천29.9℃
  • 흐림북강릉24.8℃
  • 구름많음창원27.1℃
  • 구름많음문경27.1℃
  • 구름많음구미30.4℃
  • 구름많음영덕26.2℃
  • 구름많음의령군28.4℃
  • 흐림제주27.4℃
  • 구름많음고창군29.7℃
  • 흐림충주29.3℃
  • 흐림강화26.4℃
  • 구름많음거제25.0℃
  • 구름많음울진25.0℃
  • 구름많음순창군28.9℃
  • 흐림군산30.3℃

스타벅스의 반복된 해킹 피해, '실수' 아닌 '실력'의 문제

김기성
기사승인 : 2023-07-18 11:42:37
고전적 해킹 공격에 4년 전 당하고 또 당해
금전 결제 2단계 인증 절차 없어 피해 키워
유니버스 클럽·전체 그룹사에 악영향 우려
스타벅스 애플리케이션(앱)카드 이용자의 개인정보가 해킹돼 선불 충전금이 부정 결제됐다. 문제는 똑같은 해킹 수법으로 4년 전에 당하고도 그동안 아무런 대책을 마련하지 않은 채 손을 놓고 있었다는 사실이 밝혀져 비난이 커지고 있다.

스타벅스 해킹으로 90여명 정보 도용, 800여만 원 피해

스타벅스 코리아는 지난 12일 홈페이지를 통해 해외에서 불법으로 취득한 아이디와 패스워드를 이용한 충전금 부정 결제 사건이 발생했다고 밝혔다. 개인정보가 도용된 이용자는 90여 명이고 피해액은 800여만 원에 이르는 것으로 알려졌다.

스타벅스 측은 해외 IP를 통해 앱에 부정 로그인를 시도한 뒤 로그인에 성공하면 해당 계정의 충전금을 도용했다고 밝혔다. 이렇게 도용한 금액은 현금화가 손쉬운 텀블러 구매에 집중됐다고 한다. 현재 스타벅스 코리아는 해커의 해외 IP를 차단하고 관계기관에 신고했으며 피해가 확인된 고객에 대해서는 충전금을 전액 보전해줬다고 밝혔다.

▲ 서울 여의도에 있는 스타벅스 매장 전경. [김지우 기자]

스타벅스, 2단계 인증 절차 갖추지 않아 피해 확산

이번 스타벅스 해킹에 사용된 수법은 '크리덴셜 스터핑(Credential stuffing)'이라고 하는 고전적인 해킹 방법이다. 다른 웹사이트나 앱 등 여러 경로에서 불법으로 취득한 아이디와 비밀번호를 다른 웹사이트나 앱에 무작위로 대입해 로그인이 될 경우 해킹을 하는 방식이다. 대부분의 인터넷 이용자들이 여러 웹사이트나 앱에 동일한 아이디와 비밀번호를 설정한다는 점을 악용하는 수법이다.

이러한 수법의 해킹이 늘어나자 많은 웹사이트와 앱에서는 금전 결제가 수반되는 거래에 대해서는 2단계 인증 절차를 요구하지만 스타벅스에는 그러한 안전장치가 없었다. 아이디와 비밀번호만 맞아 떨어지면 바로 로그인이 가능하고 그 상태에서 별도의 인증절차 없이 충전금을 결제할 수 있었던 것이다.

4년 전에도 똑같은 해킹 공격에 피해 입고 똑같은 보상

문제는 스타벅스 코리아 4년 전에도 똑같은 수법의 해킹 공격을 받았다는 것이다. 2019년 8월 스타벅스 코리아는 일부 계정에서 잔액을 몰래 빼내려는 시도가 감지됐다면 회원들에게 주의할 것을 당부했다. 로그인 정보가 다른 웹사이트의 아이디와 비밀번호가 동일하다면 해킹을 방지하기 위해 주기적으로 비밀번호를 바꿔달라고 요청했다.

당시에도 스타벅스 코리아는 피해금액을 밝히지 않은 채, 부정 로그인으로 피해를 본 고객에 대해서는 피해금액을 바로 보상하고 있다고 밝혔다. 이번 해킹 사고와 수법이 동일한 것은 물론이고 보상절차까지 판박이처럼 같다. 

작년에는 아이디 중복 사고로 과태료 1000만 원 처분 받아

스타벅스 코리아의 보안 취약성은 작년에도 문제가 됐다. 홈페이지에 가입할 때 아이디 등이 중복되는지를 점검하는 시스템에 문제가 있었다. 이에 따라 다른 사람 계정으로 로그인되는 문제가 발생한 것이다. 이렇게 해서 유출된 개인정보가 4건에 달했지만 관계기관인 KISA(한국인터넷진흥원)에 신고조차 하지 않았다. 이 일로 개인정보보호위원회는 지난 1월 스타벅스 코리아에 대해 1000만 원의 과태료를 부과했다.

신세계 그룹은 최근 온·오프라인의 유통채널을 한 데 묶는 신세계 유니버스 클럽을 야심 차게 출범시켰다. 여기에는 물론 스타벅스도 포함돼 있다. 이제는 스타벅스의 해킹 피해가 전체 그룹사로 확산할 위험에 노출된 것이다. 더구나 스타벅스가 4년 전 해킹 사례에 그대로 노출된 것은 정보보호에 소홀하다는 비난을 피하기 어려워 보인다. 한 번의 사고는 '실수'일 수 있지만 거듭된 사고는 '실력'이라고 볼 수밖에 없기 때문이다.

KPI뉴스 / 김기성 대기자 bigpen@kpinews.kr

[저작권자ⓒ KPI뉴스. 무단전재-재배포 금지]

김기성
김기성

기자의 인기기사