실질적 금전 탈취 이어져 피해자에 직접적 충격, 기존 고객들도 공포
[HBN뉴스 = 홍세기 기자] 쿠팡의 대규모 개인정보 유출 여파가 채 가시지 않은 가운데, 국내 주요 이커머스 플랫폼인 G마켓에서 고객 계정이 도용되어 무단 결제가 이뤄지는 보안 사고가 발생했다.
전자상거래 업계에서 보안 위협이 연쇄적으로 터져 나오면서 소비자들의 불안이 한층 고조되고 있다.
 |
| G마켓 본사. [사진=G마켓] |
3일 금융당국과 유통업계에 따르면, G마켓 이용자 60여명이 지난달 29일 무단 결제 피해를 신고했다.
피해자들은 자신이 구매하지 않은 모바일 상품권 및 기프트 카드(금액권) 등이 결제됐다며 금융감독원에 신고했으며, 개인별 피해 금액은 3만원에서 20만원 수준으로 파악됐다.
무단 결제는 G마켓의 간편 결제 서비스인 '스마일페이'에 등록된 카드를 통해 이뤄졌다. G마켓 고객센터에는 지난달 29일부터 결제 취소 관련 문의가 다수 접수되기 시작했으며, G마켓 측은 신고 필요성을 문의한 1일을 거쳐 2일 정식으로 금융감독원에 신고했다.
◆ 내부 해킹 흔적 없어... '크리덴셜 스터핑' 공격 추정
G마켓이 실시한 내부 시스템 점검 결과 직접적인 해킹 흔적은 발견되지 않았다. 이에 따라 업계와 당국은 이번 사건이 크리덴셜 스터핑(Credential Stuffing) 공격으로 추정하고 있다.
크리덴셜 스터핑은 외부에서 유출된 아이디와 비밀번호, 간편결제 비밀번호 등을 조합하여 무작위로 로그인을 시도하는 사이버 공격 기법이다.
G마켓 측은 "내부망이 해킹당한 것이 아니라 외부에서 유출된 고객 정보로 G마켓에 무작위로 접근해서 로그인됐다"며 "경찰에 신고하고 선제적으로 금감원에도 알렸다"고 설명했다.
이는 플랫폼 자체의 보안 취약성이 아닌, 소비자가 다른 사이트에서 사용하던 정보를 도용당한 후 G마켓에서도 동일하게 사용되어 피해가 발생한 것으로 해석된다.
크리덴셜 스터핑 공격의 성공 확률은 0.1~0.2%에 불과하지만, 대규모로 유출된 정보 속에서는 상당한 수의 계정 접근에 성공하게 되는 만큼 위협이 크다는 평가다.
◆ 빠른 대응으로 추가 피해 차단...금감원 현장점검 착수
G마켓은 무단결제 신고가 접수되자 즉각 보안 단계를 상향 조정했다. 당일 반나절 만에 비밀번호 변경, 로그인 2단계 인증 강화, 보안 알림 기능 활성화 등을 권고했으며, 환금성 상품인 기프트 상품권 구매 시 추가 인증을 의무화했다.
이 같은 신속한 조치 결과, 조치 이후 추가 피해 사례는 보고되지 않았다.
금융감독원도 이번 사건과 관련해 G마켓에 대한 현장점검을 3일 시작했다.
금감원은 사실관계를 먼저 확인하고, 외부 탈취 계정에 의한 부정 결제 여부와 개인정보 유출 경로, 소비자 피해 규모도 함께 점검할 예정이다.
 |
◆ '정보 유출' vs '금전 탈취'...소비자 체감 심각도 다름
이번 G마켓 사건의 피해 규모(60명, 상품권 결제)는 쿠팡의 3370만 건에 달하는 대규모 개인정보 유출과는 단순 비교하기 어렵다. 하지만 소비자들이 느끼는 위기감은 오히려 쿠팡 사태에 버금가거나 그 이상일 수 있다는 분석이 나온다.
쿠팡의 경우 이름, 이메일, 배송지 주소 등의 개인 정보 유출이었던 반면, G마켓은 실질적인 금전 탈취로 이어졌다는 점에서 피해 당사자들에게 보다 직접적인 충격으로 다가온다.
특히, G마켓은 최근 알리바바 그룹과 합작법인 설립을 추진하던 상황에서 이번 보안 사고가 발생했다.
신세계그룹은 지난 26일 알리바바 인터내셔널과 전략적 파트너십 구축을 발표했으며, 양 사의 출자 비율은 5대 5로 동등하게 설정됐다.
정용진 회장이 합작법인의 이사회 의장에 올라 직접 전략을 주도하려던 중이었다. 그러나 이처럼 중국계 거대 기업과의 협력이 대외적으로 알려진 시점에 보안 사고가 터지면서 '차이나 리스크' 우려가 과도하게 증폭되는 상황이 벌어졌다.
사고의 기술적 원인이 알리바바와의 제휴와 무관하다 하더라도, 최근 쿠팡 사태에서 중국 국적 전 직원이 개인정보 유출에 연루된 혐의가 제기되면서 대중의 심리적 부담이 크게 증가하고 있다.
[ⓒ HBN뉴스. 무단전재-재배포 금지]
