스타벅스 충전금 0원, 해킹 피해

스타벅스코리아 애플리케이션(앱) 이용자 90여명 계정이 해킹된 가운데, 피해자가 더 늘어날 수 있어 이용자 아이디와 비밀번호 교체가 강력히 권장된다.

14일 업계에 따르면 스타벅스코리아는 지난 12일 홈페이지를 통해 “10일 불법 취득한 아이디, 패스워드를 무작위로 조합한 후 해외 IP를 통해 당사 앱에 부정 로그인한 시도가 있었다"며 "로그인에 성공한 계정의 충전금을 도용해 결제했다”고 공지했다.

이어 “당사는 해당 사건 확인 즉시 공격자의 해외 IP를 차단하고, 관계 기관에 신고했다”며 “피해가 확인된 고객 충전금은 당사가 전액 보전했다”고 덧붙였다. 이어 “고객님의 불편함과 번거로움에 머리숙여 사과드린다”고 전했다.

스타벅스 측은 현재까지 이용자 90여명 계정이 해킹돼 선불충전금 약 800만원이 부정결제 됐다고 전했다. 그러나 해킹된 계정 수는 더 많은 것으로 파악된다. 스타벅스가 해킹 사실과 함께 사과문을 올린 지 이틀이 지난 이날 오후에도 추가 피해사례가 나타난 것으로 확인됐다.

스타벅스는 8일 처음 피해고객 신고가 있었지만 10일에서야 조직적 공격이라는 것을 파악하고 한국인터넷진흥원(KISA) 등 관계기간에 신고, 12일 홈페이지 공지문을 통해 이같은 사실을 알렸다. 이미 늑장대응이라는 비판을 받고 있는 가운데 이틀뒤인 14일까지 해킹 피해 신고가 이어지고 있는 셈이다.

스타벅스 모바일 앱 사용자인 A씨 역시 이전 피해사례들처럼 부정결제는 현금화가 가능한 텀블러 구매에 집중돼 35만원 가량이 결제된 영수증과, 선불 충전금은 ‘0원’인 상태를 확인했다. 다만 A씨는 실제 피해금액은 텀블러 결제 금액을 제외한 선불충전금 4만8500원이라고 설명했다.

A씨는 “오늘 오후 스타벅스 계정을 잠금처리했다는 문자를 받고 앱을 확인하니 5만원가량 선불충전금이 모두 사라져 있었다”며 “피해금액이 아직 보상되지 않아 고객센터에 문의했더니 다음주 월요일 모두 복구해주겠다고 했다”고 말했다.

스타벅스코리아 측은 “관계 기관에 신고를 한 이후에도 추가 접촉(공격) 시도가 있을 수 있어 모니터링을 하며 선제적으로 대응하고 있다”며 “모든 공격을 다 막을 순 없지만 7월10일 해외IP를 차단한 이후 의심 정황이 많이 감소하고 있다”고 답했다.

스타벅스가 당한 해킹공격은 ‘크리덴셜 스터핑’으로 추정된다. 크리덴셜 스터핑이란 외부에서 대량 확보한 아이디와 비밀번호 등 이용자 정보를 다른 사이트 계정에 무작위로 대입해 로그인을 시도, 고객 정보 등을 빼는 행위다.

스타벅스 모바일 앱은 아이디와 비밀번호만 입력하면 별도 인증절차 없이 앱카드에 충전한 금액을 결제할 수 있다는 점이 문제를 키웠다는 점이 지적된다.

연초 지마켓도 크리덴셜 스터핑 공격을 당해, 고객들이 선결제로 구매만 하고 보관 중이던 미사용 상품권들이 ‘사용 완료’라고 뜨는 등 사례가 동시다발적으로 발생한 바 있다.

지마켓의 경우 미사용 상품권을 보관 중이던 일부 고객에 그쳤으나, 스타벅스의 경우 훨씬 심각한 사안이 될 수 있다. 스타벅스 사용자 상당수는 모바일 앱에서 선불충전금을 통해 이용하고 있다. 공정거래위원회에 따르면 스타벅스 선불충전금은 2019년 1461억원에서 2020년 1848억원, 2021년 3402억원으로 매년 증가했다.

모바일 인덱스에 따르면 스타벅스 지난 6월 월간 활성 이용자 수(MAU)만 630만명이다. 이중 어딘가에서 개인정보가 유출된 사용자들은 누구든지 스타벅스 앱 해킹 잠재적 위험자가 될 수 있다. 사고 예방을 위해선 가장 먼저 아이디와 비밀번호를 교체하는 작업이 필요하다. 특히 여러 사이트에서 동일하게 사용하는 경우 해커들 표적이 될 수 있다.