세계일보

지마켓에서 문화상품권을 구매한 소비자들이 19일 본인도 모르게 상품권이 빼돌려지는 사태가 잇따랐다. 개인정보보호위원회는 이와 관련 최근 개인정보 유출 정황이 확인된 온라인 쇼핑몰을 조사하고 있다며 온라인쇼핑몰을 중심으로 ‘크리덴셜 스터핑’이 빈발하는 만큼 주의해야 한다고 당부했다. 

이날 온라인 커뮤니티와 지마켓의 상품 문의란에는 ‘상품권을 사용한 적이 없는데 사용완료됐다’는 문의가 줄을 이었다. 지마켓에서는 모바일 상품권을 시중보다 다소 할인된 가격에 구매할 수 있다. 이렇게 구매한 상품권은 바코드와 핀번호가 있는 형태로 전달된다. 소비자들은 이를 지마켓에 보관하거나 다른 포인트로 전환해 놓는다. 이날 지마켓에 소비자들이 보관한 상품권이 본인도 모르는 사이 빼돌려져 사용되는 사태가 무더기로 발생했다. 일부 소비자들은 바로 경찰 사이버 수사대에 피해 상황을 신고했다.

개인정보위는 이와 관련 “최근 크리덴셜 스터핑 등 계정정보 도용으로 개인정보가 유출된 정황이 확인된 온라인쇼핑몰에 대해 조사를 진행하고 있다”며 “위법사항 발견시 개인정보 보호법에 따라 엄정히 처리할 예정”이라고 밝혔다.

크리덴셜 스터핑(Credential Stuffing) 공격은 해커가 이미 유출되거나 사전에 탈취한 사용자 아이디와 비밀번호를 다른 누리집 등에 무작위로 대입하는 방식이다. 같은 아이디·비밀번호를 쓰는 사이트를 발견해 로그인에 성공하면 사용자 정보를 빼가게 된다.

개인정보위는 “온라인쇼핑몰 등 인터넷 이용자 중에는 여러 누리집에 동일한 계정·비밀번호를 사용하는 경우가 많다”며 “한 곳에서 계정과 비밀번호가 탈취되면 여러 누리집에서 개인정보 유출, 금전 피해 등을 입을 수 있다”고 설명했다.

아울러 소비자 주의도 당부했다. 계정정보 도용으로 2차 피해가 발생하지 않도록 하나의 아이디로 여러 곳을 이용할 때는 비밀번호를 바꾸고, 비밀번호 이외에 휴대폰 문자·전자우편·전화·생체 인증 등 2차 인증이 가능한 누리집이나 앱은 2차 인증을 필수로 설정해 달라고 밝혔다. 오래 방문하지 않은 누리집은 ‘e프라이버시 클린서비스’ 사이트에서 탈퇴할 수 있다.

양청삼 개인정보위 조사조정국장은 “온라인쇼핑몰 사업자들은 계정정보 도용 피해가 발생하지 않도록 도용 의심사례가 없는지 사용자 접속기록 및 이용현황을 철저히 분석·점검하고, 가능하다면 비밀번호 변경 안내, 2차 인증 등 계정정보 도용 방지를 위한 추가 조치를 취해달라”고 했다.

계정정보 도용이 의심되거나 해킹 공격으로 기술지원이 필요할 경우, 한국인터넷진흥원에서 연중무휴로 지원받을 수 있다.

[ⓒ 세계일보 & Segye.com, 무단전재 및 재배포 금지]