무작위 대입 로그인 해킹! 사라진 G마켓 컬쳐랜드 상품권...무슨 일이 일어났나

2

 

무작위 대입 로그인 해킹! 사라진 G마켓 컬쳐랜스 상품권...무슨일이 일어났나

[기사 핵심 요약]
‘무작위 대입’ 통한 로그인 사례 잇따라
지마켓에 로그인하면 구입한 상품권 핀 번호 그대로 보여
지마켓·인터파크·LG유플러스 등 피해

 

[갓잇코리아 / 송성호 기자] G마켓에서 구매한 미사용 상품권이 고객도 모르게 동시다발적으로 ‘사용완료’된 것으로 확인되며 고객 계정 도용 피해 사례가 속출하고 있다. 19일 온라인 커뮤니티 및 소셜미디어(SNS)에 G마켓을 통해 구매한 미사용 상품권이 ‘사용 완료’된 것으로 뜨거나, G마켓 간편결제 서비스인 스마일페이를 통한 결제가 시도됐다는 피해 사례가 잇따라 올라왔다.

 

지난달 부터 여러 대형 웹사이트에서 개인 정보 도용 사태가 발생하고 있는데 이에 사용된 수법은 바로 ‘크리덴셜 스터핑’ 수법이다. 크리덴셜 스터핑 공격은 해커가 이미 유출되거나 사전에 탈취한 사용자 계정(ID)과 비밀번호를 다른 웹사이트 등에 무작위로 대입해서 로그인이 성공하면 해당 사용자 정보를 빼가는 공격 수법이다.

 

온라인쇼핑몰 등 인터넷 이용자들은 여러 웹사이트에 동일한 계정(ID)과 비밀번호를 사용하는 경우가 많아, 한 곳에서 계정과 비밀번호가 탈취되면 여러 사이트에서 계정을 도용한 개인정보 유출이나 금전 피해를 입을 수 있다. 지마켓에 사용된 방법도 해당 기법으로 보인다.

 

보안업계에 따르면 충분히 대비해서 막을 수 있었던 사안을 업체가 안일하게 관리하며 문제를 키웠다는 지적도 일어나고 있다. 이번에 발생한 지마켓 상품권 도용 사건은 기존에 비슷한 사례가 여러 번 발생해, 티몬 등은 대비하고 있었기 때문이다. 지난 18일 인터넷커뮤니티 뽐뿌 등에 ‘지마켓’ 계정으로 보유하고 있던 상품권이 갑자기 사라졌다’는 내용의 게시글이 올라오기 시작했다.

 

지마켓에 로그인하면 구입한 상품권 핀 번호 그대로 보여
지마켓에 로그인하면 구입한 상품권 핀 번호 그대로 보여

지마켓에서는 고객이 아이디로 로그인하면 상품권 e쿠폰함을 통해 보유 중인 상품권의 핀번호 전체를 바로 확인할 수 있다. 아이디와 비밀번호만 알면 상품권을 바로 이용할 수 있는 상황이다. 11번가와 옥션도 같은 방식인 것으로 알려졌다. 그런데 지마켓의 일부 아이디와 비밀번호가 해킹되거나 외부에 노출되면서 이 같은 상품권 핀번호 직접 노출이 바로 사고로 이어졌다.

 

지마켓 관계자는 “이번 건은 지마켓 자체를 공격하는 해킹이 아니라 외부에서 고객 데이터를 가져와 ID를 도용한 것”이라며 “보안 솔루션을 통해 모니터링한 결과 이번 사태는 (지마켓 사이트) 해킹과는 관련이 전혀 없다”고 말했다. 관계자는 “정확한 내용은 여러 사이트에서 같은 아이디와 비밀번호를 이용한 고객 위주로 피해가 발생한 것으로 추정 중”이라며 “지마켓 고객 계정은 단방향 암호화가 돼 있어 사이트를 해킹해 정보를 유출할 가능성은 없다”고 덧붙였다.

 

'무작위 대입' 통한 로그인 사례 잇따라
‘무작위 대입’ 통한 로그인 사례 잇따라


댓글