"피해액만 150만원이에요. 제가 사놓은 문화상품권 쓰려고 보니 '사용완료'라고 뜨더라고요."
최근 온라인 쇼핑몰 G마켓에서 발생한 가입자 계정 도용 사건으로 A씨는 이같은 금전적 피해를 봤다. 지마켓에서 구매해둔 문화상품권을 한 웹사이트에서 사용하려 했는데, 이미 누군가 사용 완료한 흔적을 발견했다는 것이다. 상품권을 현금화해 빼돌린 날짜는 지난 16일. A씨는 '탈퇴한 회원'으로 나왔다.
29일 업계에 따르면 A씨 사례와 유사한 개인정보 도용 피해자들이 상당한 것으로 파악된다. 대부분 지마켓에서 구매한 미사용 상품권이 사용 완료되거나, 지마켓 간편결제 서비스인 '스마일페이'로 결제되는 식이다. 피해는 이달 중순께 동시다발적으로 발생한 것으로 알려졌다.
소셜네트워크서비스(SNS)와 온라인 카페 등을 중심으로 피해를 입었다는 글이 쏟아지고 있다. 피해액은 5만원, 10만원 등 소액부터 150만원 넘는 금액까지 다양한 것으로 추정된다. 한 누리꾼은 "지마켓에서 구매한 상품권이 18시간만에 사용 완료됐다. 50만원은 액땜하기에 너무 (액수가)크다"며 "경찰서에 가서 신고접수했다"고 했다.
200명 가까운 피해자들이 '지마켓 해킹관련 상품권 피해자 모임'을 꾸리고 카카오 단체 채팅방에서 피해 규모 확인 및 보상 신청 방법 등을 공유 중이다. 현재 지마켓은 상품권 도용 사례와 관련해 적극 피해 보상을 하겠다는 입장을 밝힌 상태다.
정보기술(IT) 업계에 따르면 지마켓의 계정 도용 사례는 '크리덴셜 스터핑(Credential Stuffing)' 수법을 사용한 것으로 추정된다. 크리덴셜 스터핑이란 해커가 이미 유출됐거나 사전에 탈취한 아이디와 비밀번호를 무차별적으로 대입해 로그인을 시도하는 공격 방식이다. 대개 이용자들은 한 가지 비밀번호를 여러번 재사용하기 때문에 하나 계정과 연계된 비밀번호를 확보하면 여러 사이트에 로그인할 수 있다. 크리덴셜 스터핑 성공 확률은 0.1~0.2% 수준이다.
크리덴셜 스터핑 피해는 최근 빈번하게 발생하고 있다. 지난 11일 인터파크는 크리덴셜 스터핑으로 추정되는 사이버 공격을 받았다고 밝혔다. 회사 측에 따르면 신원 미상의 공격자가 사전에 외부에서 수집한 것으로 보이는 아이디와 비밀번호를 이용해 인터파크에 로그인 시도를 했다. 지난해 12월에는 LG유플러스에서는 유사한 공격이 발생해 회원 일부의 요금제 정보 등이 변경된 사례도 있다. 국내뿐 아니라 해외에서 발생한 피해 사례도 많다.
최근에는 미국에서도 간편결제 서비스 페이팔(Paypal) 가입자 3만5000명의 개인정보가 크리덴셜 스터핑 공격으로 외부에 유출되는 사고가 발생하기도 했다. 과거 할리우드 배우 제니퍼 로렌스의 클라우드 계정에 있는 누드 사진 등 사생활 자료도 유사한 방법으로 유출된 바 있다.
보안업체 아카마이(Akamai)는 2020년에만 전세계적으로 1930억건의 크리덴셜 스터핑 공격이 발생했다고 집계했다. 특히 금융서비스 기업들의 경우 전년 대비 45%나 증가한 34억번의 공격을 받았다.
개인정보보호위원회는 계정 정보 도용 피해에 대해 각별한 주의를 당부했다. 관계자는 "최근 온라인 쇼핑몰을 중심으로 크리덴셜 스터핑 등 계정 정보 도용 사례가 빈발하고 있어 온라인 쇼핑몰 이용자와 기업들의 각별한 주의가 요구된다"며 "한 곳에서 정보가 탈취되면 여러 웹사이트에서 (계정을 도용한) 개인정보 유출, 금전 피해 등을 입을 수 있다"고 설명했다.
크리덴셜 스터핑은 로그인 성공시 추가적인 개인정보를 습득할 수 있고, 계정 정보를 판매해 2차 피해를 가져다줄 수 있기 때문에 최대한 예방하는 것이 좋다. 수년간 메신저와 이메일, 온라인 쇼핑몰 등에서 같은 아이디와 비밀번호를 이용하고 있다면 변경하는 게 안전하다.
현재 네이버와 카카오 등 국내 IT 기업들은 이용자들에게 과거에 사용한 적 없는 비밀번호를 주기적으로 변경하라고 권고한다. 기업들이 제공하는 '개별 보안 설정'을 미리 적용하면 개인정보 유출시 2차 피해를 줄일 수 있다.
관리자를 사칭한 메일을 통해 개인정보를 해킹하는 '피싱' 공격에도 주의해야 한다. 메일 속 링크를 누르면 그럴싸한 로그인 페이지가 나타나 개인정보를 탈취하기 때문이다. 의심스러울 경우 공식 메일 주소와 회사 아이콘을 다시 한번 확인하는 것이 좋다.
네이버는 아이디와 비밀번호가 유출된다 해도 개인정보들을 저장하고 있는 서비스(메일, 주소록, 캘린더 등)에 접근하지 못하도록 막는 '프라이버시 보호 설정' 서비스를 제공 중이다. 보안 설정에 들어가면 이용할 수 있다. 또한 △로그인 전용 아이디 △2단계 인증 △일회용 로그인 및 QR코드 로그인 서비스 등을 활용하면 더 높은 수준의 보안 설정이 가능하다. 최근에는 본인 인증만 하면 비밀번호 없이 로그인 할 수 있는 '패스워드리스'를 시범 도입했다. 네이버 관계자는 "정상적이지 않은 로그인 시도들은 탐지해 차단하고 있다"고 밝혔다.
카카오 역시 직접 로그인하지 않은 로그인 이력이 확인되면 즉시 계정 비밀번호를 변경하라고 조언한다. 별도의 2단계 인증을 설정하면 카카오 계정과 비밀번호 확인 외에 추가 인증을 거친 뒤 로그인할 수 있다. 본인이 로그인하지 않았는데 로그인 알림 메일을 받았을 경우 '내가 로그인 하지 않음' 링크를 클릭해 계정을 '잠금처리'할 수 있다. 카카오 관계자는 "내부적으로 정보보호·보안 관련 조직이 편성돼 상시 모니터링을 진행 중"이라고 전했다.
조아라 한경닷컴 기자 rrang123@hankyung.com
관련뉴스