스타벅스 앱 해킹, 4년 전 사고 반복

[지디넷코리아]

스타벅스 앱 카드 사용자 일부가 해킹으로 인해 부정결제되는 사고가 발생했다. 올해 초 개인정보 유출로 1천만 원의 과태료를 지불했음에도 4년 전과 같은 일이 반복됐다.

13일 스타벅스코리아는 공식 홈페이지를 통해 "10일 외부에서 불법 취득한 아이디와 패스워드를 무작위로 조합한 후 해외 IP를 통해 앱에 부정 로그인한 시도가 있었다"고 밝혔다.

스타벅스코리아는 사건 확인과 함께 공격자의 해외 IP를 차단하고 관계 기관에 신고했다고 밝혔다. 고객에겐 비밀번호 재설정 안내 등 추가 조치를 했다. 또한, 일부 피해가 확인된 고객의 충전금은 회사 차원에서 전액 보전했다고 밝혔다.

이번 해킹은 '크리덴셜 스터핑'이라 불리는 공격 방법이 사용됐다. 크리덴셜 스터핑은 일반적으로 이용자가 여러 앱에서 동일 아이디와 비밀번호를 사용하는 것을 노린 공격 방식이다. 외부에서 확보한 다수의 개인 아이디와 패스워드 대입을 반복하며 로그인을 시도한다.

이를 통해 로그인에 성공한 계정에서만 충전금을 결제 후 도용한 것이다. 스타벅스 코리아에 따르면 이용자 90여명의 계정이 해킹돼 충전금 약 800만 원이 부정결제 된 것으로 나타났다.

최근 크리덴셜 스터핑은 ‘초기 침투 전문 브로커’(IAB, 일명, 인포스틸러)의 등장으로 급격하게 늘고 있는 공격방법이다. IAB로부터 아이디와 패스워드, 해킹툴만 구입하면 바로 시도할 수 있을 정도로 구조가 간단하기 때문이다.

하지만 문제는 지난 2019년에도 동일한 공격으로 인해 사용자 피해가 발생한 사례가 있다는 것이다.

또한 올해 초에도 스타벅스를 운영하는 에스씨케이(SCK)컴퍼니가 홈페이지를 고도화하는 과정에서 개인정보 유출했음에도 이를 당국에 신고하지 않아 개인정보보호위원회로부터 1천만 원의 과태료를 부과 받았다. 더불어 당시 스타벅스의 클라우드 시스템은 보안이 취약해, 고객의 예치금 등이 탈취될 수 있다는 의혹도 제기된 바 있다.