어쩌다 인터파크까지...또 털린 이커머스 '개인정보'

(사진=픽사베이)

인터파크와 지마켓 등 수백만 소비자가 이용하는 대형 이커머스에서 연달아 이용자 개인정보 도용 피해가 발생했다. 해커는 이미 유출된 로그인 정보를 무작위로 대입하는 방법을 통해 이용자들의 계정에 접근해 개인정보와 전자 상품권 등을 빼돌렸다. 피해 기업들이 개인정보보호위원회(이하 개보위) 등의 협조 하에 빠르게 조사에 착수했지만, 급하게 내놓은 대응책에 대한 비판은 불가피해보인다.

26일 이커머스 업계에 따르면 인터파크와 지마켓이 '크리덴셜 스터핑(credential stuffing)'으로 추정되는 해킹 피해를 입었다. 크리덴셜 스터핑은 대다수 사람들이 동일한 로그인 정보를 이용한다는 점을 노려, 미리 확보한 아이디와 비밀번호를 여러 사이트에 무작위 대입해 개인정보를 빼내는 해킹 방법이다.

개보위는 다른 사이트에서 유출된 로그인 정보를 활용한 해킹이 맞다면 계정 접속 과정에서의 이커머스 책임은 한정적일 것이라고 설명한다.

개보위 관계자는 "(크리덴셜 스터핑이) 해킹 공격 중에서는 많이 쓰는 공격 기법"이라며 "인터파크든 지마켓이든 다른 업체든 이 업체가 특별히 잘못해서 이런 공격을 당했다고 하기에는 조금 애매한 방법 중 하나"라고 말했다.

결국 로그인 정보를 최초로 유출한 업체의 책임이 무겁다고 판단한 건데, 지마켓은 내부 조사 결과 아이디와 비밀번호 유출은 없었다고 결론지었다. 인터파크 또한 외부에서 수집한 계정 정보를 가지고 로그인 시도를 한 것으로 추정하고 있다고 밝혔다.

그러나 '소 잃고 외양간 고치기' 식의 해킹 대응이라는 비난까지 피해 갈 수는 없을 것으로 보인다. 인터파크는 피해를 인지한 후 계정 보호를 위해 로그인 잠금 조치를 했다. 별도의 본인 인증 과정을 거쳐야만 접속이 가능하게 보안을 강화한 것이다. 동시에 피해 계정 이용자에겐 메일을 통해 해킹 사실을 안내했다.

인터파크 관계자는 "상시 모니터링 체계를 24시간 운영하고 있다"며 "비정상 접근이 발생하는 IP에 대해서는 차단 조치를 취하고 있다"고 설명했다.

현물 피해가 발생한 지마켓의 경우 아직까지 사건의 직접적인 원인이 된 전자 상품권 관리 시스템 개선이 이뤄지지 않고 있다. 지마켓은 이용자 편의를 위해 전자 상품권의 고유 식별 번호를 별도의 인증 절차 없이 열람할 수 있게 설정했다.

1단계 로그인만 뚫는다면 별다른 노력 없이 고객 상품까지 마음대로 탈취할 수 있는 구조로 분석된다. 결국 온라인 쇼핑몰에서 문화상품권 등을 저렴하게 구매한 후 사용하는 일명 상테크(상품권+재테크)족들을 공략해 사용과정을 간소화한 것이 화를 불러왔다.

지마켓 관계자는 "고유 식별 번호 노출 개선안의 경우에는 빠르면 이번 주 늦어도 다음 주까지는 완료가 될 예정"이라며 "역이용될 가능성이 있어 자세하게 공개할 수는 없지만 이외에도 보안과 관련된 기술적인 개선은 추가적으로 진행하고 있는 상황"이라고 말했다.

민경빈 머니투데이방송 MTN 기자