외부 해킹 계정 무작위 대입 '크리덴셜 스터핑' 추정...안드로이드 캡처 금지 등 대응 조치
스타벅스코리아(이하 스타벅스)가 발생한 앱카드에서 계정을 도용한 부정 결제로 수 백만원의 충전금이 증발했다. 외부 사이트에서 해킹한 아이디와 비밀번호를 스타벅스 앱카드 계정에 무작위로 대입한 '크리덴셜 스터핑' 해킹 수법이 사용된 것으로 알려졌다.
스타벅스는 이번 계정 도용으로 피해를 본 소비자에게 보상하고, 안드로이드 운영 체계 스마트폰으로 스타벅스 카드 화면 캡처를 할 수 없도록 하는 등 추가 피해 방지 대책을 마련했다.
스타벅스는 지난 12일 게재한 공지글에서 "외부에서 불법 취득한 아이디와 패스워드를 무작위로 조합한 후 해외 IP를 통해 당사 앱에 부정 로그인 시도가 있었다"며 "로그인에 성공한 계정의 충전금 결제를 도용한 사건이 발생했다"고 밝혔다.
이번 계정 도용에 활용한 크리덴셜 스터핑 방식은 일반적으로 여러 앱에서 동일한 아이디와 비밀번호를 사용하는 이용자의 패턴을 노린 수법이다. 최근 편의점 CU 앱에서도 비슷한 방식으로 개인 정보가 유출되고, 적립금이 털리는 피해가 발생한 바 있다.
스타벅스는 지난 8일 피해 고객의 신고를 처음 접수했다. 경찰은 서울 명동 스타벅스 본사를 방문해 내부 시스템 해킹 여부를 조사한 것으로 알려졌다. 스타벅스 관계자는 "조사 결과 내부 시스템 해킹으로 인한 계정 도용은 아닌 것으로 파악했다"고 설명했다.
하지만 이후에도 비슷한 피해 신고가 잇따르자 스타벅스는 10일 내부 모니터링을 진행해서 외부의 불법 로그인 시도를 확인했다. 이에 즉시 공격자 아이피(IP)를 차단하고 한국인터넷진흥원 등 관계기관에 신고했다.
현재까지 스타벅스에 접수된 피해 건수는 약 90건이며, 피해 금액은 800만원 정도로 파악된다. 아직 피해 사실을 인지하지 못한 소비자를 고려하면 피해 금액이 더 늘어날 가능성도 있다. 스타벅스는 이번 사고에 따른 피해액은 즉시 전액 보상할 방침이다.
스타벅스 관계자는 "고객님의 불편함과 번거로움에 머리 숙여 사과드린다"며 "사고 예방을 위해 아이디와 비번을 여러 사이트에서 동일하게 사용하시는 고객께서는 주기적으로 변경해 주실 것을 부탁드린다"고 말했다.
