[뉴스토마토 유태영 기자] 스타벅스코리아(SCK컴퍼니)의 자사 앱에서 이용자 계정이 해킹돼 선불충전금 약 800만원이 결제되는 해킹피해가 발생했습니다. 온라인 쇼핑의 가파른 성장과 함께 선불충전금 규모가 커지는 가운데 고객의 돈을 해킹 피해로부터 지키려는 투자와 노력이 부족하다는 지적이 잇따르고 있습니다. 

 

지난 13일 SCK컴퍼니는 스타벅스코리아 홈페이지를 통해 "10일 외부에서 불법 취득한 아이디와 패스워드를 무작위로 조합한 후 해외 IP를 통해 앱에 부정 로그인한 시도가 있었다"고 밝혔습니다.

 

SCK컴퍼니는 사건 확인과 함께 공격자의 해외 IP를 차단하고 관계 기관에 신고했고, 고객에겐 비밀번호 재설정 안내 등 추가 조치를 했다고 공지했습니다. 또한, 일부 피해가 확인된 고객의 충전금은 회사 차원에서 전액 보전했다고 발표했습니다.

 

 

이번에 활용된 해킹 방식은 '크리덴셜 스터핑(Credential Stuffing)'이라 불리는 초급 수준의 해킹 방법이 사용된 것으로 파악됩니다. 일반적으로 이용자가 여러 앱에서 동일 아이디와 비밀번호를 사용하는 것을 노린 공격 방식입니다. 외부에서 확보한 다수의 개인 아이디와 비밀번호 대입을 반복하며 로그인을 시도해 제품을 결제한 뒤 현금화한 것입니다.

 

김승주 고려대 사이버국방학과장은 "'크리덴셜 스터핑' 자체가 고난이도의 해킹방법이 아닌데 스타벅스가 미리 대비하지 못한 것 같다"면서 "스타벅스코리아 정도의 기업이라면 보안을 더욱 철저히 해야할 의무가 있다"고 말했습니다. 

 

스타벅스 관계자는 "현재 고객이 피해를 입은 부분에 대해서 전액 보상조치를 했다"며 "유사피해가 발생하지 않도록 보안작업을 고도화하고 있다"고 설명했습니다. 

 

스타벅스 선불충전금 규모는 해마다 300억~500억원 가량 늘고 있습니다. 선불충전금은 2018년 940여억원에서 2022년 말 기준약 3000억원으로 4년만에 3배이상 증가했습니다.

 

선불충전금은 기업 입장에서 충성고객을 붙잡아 두는 효과를 노릴 수 있습니다. 이커머스 기업들은 선불충전금을 이용해 결제할경우 추가 적립혜택을 주는 방식으로 규모를 늘리고 있습니다. 

  

쿠팡에 따르면 지난 2분기 말 기준 쿠페이 내 누적 충전금액(쿠페이 머니)은 1010억6235만원으로 집계됐습니다. 1분기 말 기준 978억3730만원 대비 약 3.3% 증가한 수치입니다.

 

2016년 도입된 쿠페이는 기존 복잡한 개인인증이나 결제과정 없이 버튼만 누르면 구매로 이어지는 간편결제 서비스입니다. 자주 사용하는 은행 계좌를 등록해 계좌 이체 형태로 이용하거나, 신용카드를 등록해 사용할 수 있습니다.

 

식음료 업계와 이커머스 업계에선 개인정보 유출과 관련해서 더욱 높은 수준의 보안을 고민중입니다. 업계 관계자는 "1개의 ID당 접속할 수 있는 기기를 지정하거나 비이상적인 구매패턴이 보이면 비밀번호를 요구하는 등 여러 방안을 마련해나가고 있다"고 말했습니다. 

 

유태영 기자 ty@etomato.com