<p><span data-ke-size="size20"><b><span style="color: #ee2323;">스타벅스 2022년 선불 충전금 2983억원… 안전 사각지대 놓였다</span></b></span></p><div class="figure-img" data-ke-type="image" data-ke-style="alignCenter" data-ke-mobilestyle="widthOrigin"><img src="https://t1.daumcdn.net/cafeattach/1AQEW/6c94cc78ba6ac21681ff198f59bc03d039a92a8d" class="txc-image" data-img-src="https://t1.daumcdn.net/cafeattach/1AQEW/6c94cc78ba6ac21681ff198f59bc03d039a92a8d" data-origin-width="500" data-origin-height="333"></div><p><span data-ke-size="size18">스타벅스 코리아의 애플리케이션(앱) 이용자 90여명의 계정이 해킹돼 충전금 약 800만원이 부정 결제되는 사고가 발생했다. 스타벅스 측은 “아이디/패스워드를 무작위로 조합한 후 로그인해 충전금 결제를 도용했다”고 알렸다.</span><br><br><span data-ke-size="size18">사고가 발생한 것은 7월10일경이다. 스타벅스 코리아는 자사 홈페이지 공지사항을 통해 ‘일부 계정 도용 거래 주의 안내’ 게시글을 업로드했다.</span><br><br><span data-ke-size="size18">스타벅스 측은 “해외 IP를 통해 당사 앱에 부정 로그인 시도가 있었다. 로그인에 성공한 계정의 충전금 결제를 도용한 사건”이라며 “해당 사건 확인 즉시 공격자의 해외 IP를 차단하고 관계기관에 신고를 완료했다. 고객에게는 비밀번호 재설정 안내 등 추가 조치를 했다. 일부 피해가 확인된 고객 충전금은 당사가 전액 보전했다”고 전했다.</span><br><br><span data-ke-size="size18">또 사고의 예방을 위해 아이디와 비밀번호를 여러 사이트에서 동일하게 사용하는 고객에게는 주기적으로 변경해 줄 것을 당부하기도 했다.</span><br><br><span data-ke-size="size18">스타벅스가 밝힌 내용이 사실이라면 해킹에 사용된 기법은 크리덴셜 스터핑(Credential Stuffing)이다. 크리덴셜 스터핑은 다크웹 등에서 구매한 계정정보를 바탕으로 여러 웹사이트, 서비스에 로그인하는 수법이다. 통상 복수의 웹사이트, 서비스에 같은 아이디, 비밀번호를 사용하는 경향을 이용한다.</span><br><br><span data-ke-size="size18">크리덴셜 스터핑의 경우 앱 자체가 해킹되는 사례는 아니다. 어딘가에서 아이디, 비밀번호 등 계정정보가 노출됐고 해커가 이를 악용한 것인 만큼 스타벅스 측에 온전한 책임을 물기 어렵다. 실제 다크웹이나 텔레그램 등에서는 계정당 수십원에 거래가 이뤄지고 있는 상황이다.</span><br><br><span data-ke-size="size18">그러나 스타벅스 앱이 다만 현금성 자산이라고 볼 수 있는 선불카드나 충전금 등을 다룸에도 해외 로그인 IP에 대한 차단이나 2차 인증 등을 도입하지 않은 것은 비판의 여지가 있다. 스타벅스가 앱의 ‘사이렌오더’를 바탕으로 금융사의 주요 경쟁사로 급부상했지만 정작 고객 안전에는 충분한 노력을 하지 않았다는 지적이 나온다.</span><br><br><span data-ke-size="size18">통상 유사 서비스를 제공하는 기업의 경우 로그인과 별개로 결제가 이뤄질 때 별도의 간편비밀번호를 입력하도록 하는 것이 일반적이다. 하지만 스타벅스는 이와 같은 조치가 이뤄져 있지 않은 것으로 확인됐다. 계정에 저장돼 있는 자산이 언제든지 사용될 수 있다는 의미다.</span><br><br><span data-ke-size="size18">2022년 기준 스타벅스의 선불 충전금을 의미하는 선수금 규모는 2983억원이다. 2021년대비 19%로는 2018년 941억원 대비 5년 만에 3배 늘었다. 2983억원이 안전장치 없이 노출돼 있다는 의미다.</span><br><br><span data-ke-size="size18">이중 선불카드의 경우 환불도 어렵다. 스타벅스는 등록된 선불카드와 관련 ‘환불은 최종 충전 후 합계 잔액의 60% 이상이 사용된 경우에만 가능하다. 60% 미만 사용시에는 잔액 이전만 가능하다’고 안내하고 있다. 소비자로서는 스타벅스의 빠른 조치를 기다릴 수밖에 없는 상황이다.</span></p><p> </p><p><span data-ke-size="size20"><b><span style="color: #ee2323;">스타벅스 앱 해킹, 4년 전 사고 반복</span></b></span></p><p> </p><p><span data-ke-size="size18"><b>개인정보 도용한 크리덴셜 스터핑 기법 그대로 반복</b>스타벅스 앱 카드 사용자 일부가 해킹으로 인해 부정결제되는 사고가 발생했다. 올해 초 개인정보 유출로 1천만 원의 과태료를 지불했음에도 4년 전과 같은 일이 반복됐다.</span><br><br><span data-ke-size="size18">13일 스타벅스코리아는 공식 홈페이지를 통해 "10일 외부에서 불법 취득한 아이디와 패스워드를 무작위로 조합한 후 해외 IP를 통해 앱에 부정 로그인한 시도가 있었다"고 밝혔다.</span><br><br><span data-ke-size="size18">스타벅스코리아는 사건 확인과 함께 공격자의 해외 IP를 차단하고 관계 기관에 신고했다고 밝혔다. 고객에겐 비밀번호 재설정 안내 등 추가 조치를 했다. 또한, 일부 피해가 확인된 고객의 충전금은 회사 차원에서 전액 보전했다고 밝혔다.</span><br><br></p><div class="figure-img" data-ke-type="image" data-ke-style="alignCenter" data-ke-mobilestyle="widthOrigin"><img src="https://t1.daumcdn.net/cafeattach/1AQEW/648a8c6f1cd103370f1171a2dbf17e24b84bf24b" class="txc-image" data-img-src="https://t1.daumcdn.net/cafeattach/1AQEW/648a8c6f1cd103370f1171a2dbf17e24b84bf24b" data-origin-width="550" data-origin-height="309"></div><p><br><span data-ke-size="size18">이번 해킹은 '크리덴셜 스터핑'이라 불리는 공격 방법이 사용됐다. 크리덴셜 스터핑은 일반적으로 이용자가 여러 앱에서 동일 아이디와 비밀번호를 사용하는 것을 노린 공격 방식이다. 외부에서 확보한 다수의 개인 아이디와 패스워드 대입을 반복하며 로그인을 시도한다.</span><br><br><span data-ke-size="size18">이를 통해 로그인에 성공한 계정에서만 충전금을 결제 후 도용한 것이다. 스타벅스 코리아에 따르면 이용자 90여명의 계정이 해킹돼 충전금 약 800만 원이 부정결제 된 것으로 나타났다.</span><br><br><span data-ke-size="size18">최근 크리덴셜 스터핑은 ‘초기 침투 전문 브로커’(IAB, 일명, 인포스틸러)의 등장으로 급격하게 늘고 있는 공격방법이다. IAB로부터 아이디와 패스워드, 해킹툴만 구입하면 바로 시도할 수 있을 정도로 구조가 간단하기 때문이다.</span><br><br><span data-ke-size="size18">하지만 문제는 지난 2019년에도 동일한 공격으로 인해 사용자 피해가 발생한 사례가 있다는 것이다.</span><br><br><span data-ke-size="size18">또한 올해 초에도 스타벅스를 운영하는 에스씨케이(SCK)컴퍼니가 홈페이지를 고도화하는 과정에서 개인정보 유출했음에도 이를 당국에 신고하지 않아 개인정보보호위원회로부터 1천만 원의 과태료를 부과 받았다. 더불어 당시 스타벅스의 클라우드 시스템은 보안이 취약해, 고객의 예치금 등이 탈취될 수 있다는 의혹도 제기된 바 있다</span>.</p>
<!-- -->
