TV조선

[앵커]
요즘 휴대폰 앱에 돈을 미리 충전해 놓고 사용하는 분들이 많습니다. 유명한 커피전문점 스타벅스가 대표적인데 이 유명한 업체의 앱이 해킹 당해 내 돈이 사라지는 일이 잇따르고 있습니다. 일단은 보안에 문제가 있었다고 보이는데 어떻게 뚫린 건지 따져보겠습니다.

홍혜영 기자, 잘 모르는 분들도 많을텐데 일단 뭐가 어떻게 다는거지요?

[기자]
네, 스타벅스를 자주 이용하는 분들은 이렇게 앱에 일정 금액을 미리 충전해놓고 결제하는 경우가 많은데요. 최대 55만 원까지 가능합니다. 이 때 앱에 자동으로 연결된 신용카드를 이용하는데요. 누군가 아이디와 비밀번호를 알아낸 뒤 무단으로 결제한 겁니다. 주로 되팔기 쉬운 텀블러를 사들였는데, 주말과 월요일 사이 최소 90여 명이 800만 원 어치를 당했습니다. 스타벅스 측은 그제 뒤늦게 공지글을 올렸습니다.

[앵커]
어떤 방식으로 돈을 빼간 겁니까?

[기자]
다크웹이나 암시장에서 확보한 아이디와 비밀번호를, 스타벅스 앱 계정에 무작위로 대입해서 일치하는 걸 찾은 겁니다. 일반적으로 사람들이 여러 앱에서 같은 아이디와 비밀번호를 쓴다는 점을 노린 수법입니다. 크리덴셜 스터핑(Credential stuffing)이라는 해킹 수법인데요. 로그인 정보를 채워 넣는단 뜻입니다. 고도의 기술 없이, 계정 정보만 얻으면 해킹에 성공할 확률이 높습니다. 지난 1월 지마켓에서 문화상품권을 산 소비자들도 이런 수법으로 피해를 봤습니다.

[앵커]
그렇다면 소비자 입장에선 오히려 더 불안할 수도 있겠는데요?

[기자]
맞습니다. 앱 자체가 뚫린 게 아니기 때문에 사실 뾰족한 대책도 없습니다. 그래서 스타벅스는 사과문을 올리면서 "주기적으로 비밀번호를 바꿔달라"고 당부했는데요. 고객 입장에서는 현실적으로 쉬운 일이 아니죠. 스타벅스의 선불 충전금 규모는 지난해 3000억 원 가까이로 급증했고, 선불 충전 카드를 이용자 수는 1000만 명을 넘어섰습니다. 스타벅스 역시 고객의 현금성 자산 보안에 소홀히 한 책임이 있는데요. 스타벅스는 이미 2019년에도 같은 수법으로 일부 고객의 충전금이 부정 결제된 적이 있습니다. 그런데도 별다른 추가 조치를 하지 않은 겁니다.

[앵커]
그럼 이걸 어떻게 막아야 합니까?

[기자]
가장 쉬운 방법은 앱에서 인증 단계를 늘리는 겁니다. 또 해외 같이 수상한 경로로 로그인 하는 경우 IP를 차단하는 것도 방법입니다. 고객 정보 78만 건이 유출된 인터파크는 사전에 이런 장치를 두지 않았다는 이유로 지난달 과징금 10억 원이 부과됐습니다.

강은성 /서울여대 정보보호학과 교수
"기본적으로 2단계 인증을 도입하고 그것이 사용자가 너무 불편하지 않도록 예를 들어서 접속하는 주소가 바뀌거나 접속하는 기기가 바뀌거나 또는 접속하는 브라우저가 바뀌었을 때 그럴 때만 2단계 인증을 활성화해서 할 수 있도록 하는 방법들이 있습니다."

[앵커]
결국 안전을 위해서는 사용자가 불편을 좀 더 감수해야 한다는 건데 설명을 들어도 업체측이 무책임하다는 느낌이 남습니다. 업체 측도 더 고민해 주셨으면 합니다. 잘 들었습니다.