"혹시 내 계정도?"…스타벅스 앱 해킹에 800만원 부정결제

"피해 입은 충전금 전액 보전"

↑ 스타벅스 코리아 공지 / 사진=연합뉴스

스타벅스 코리아 애플리케이션(앱) 이용자 90여명의 계정이 해킹돼 충전금 약 800만원이 부정 결제되는 일이 발생했습니다.

스타벅스 코리아는 문제가 된 해외 IP를 차단하고 피해 계정의 충전금을 전액 보상했습니다.

스타벅스 코리아는 지난 12일 홈페이지를 통해 "10일 불법 취득한 아이디, 패스워드를 무작위로 조합한 후 해외 IP를 통해 당사 앱에 부정 로그인한 시도가 있었다"며 "로그인에 성공한 계정의 충전금을 도용해 결제했다"고 공지했습니다.

스타벅스 코리아는 "당사는 해당 사건 확인 즉시 공격자의 해외 IP를 차단하고, 관계 기관에 신고했다"며 "피해가 확인된 고객의 충전금은 당사가 전액 보전했다"고 덧붙였습니다.

스타벅스는 여러 사이트에서 같은 아이디와 비밀번호를 사용하는 고객의 경우 관련 피해를 볼 수 있다고 우려하며, 아이디와 비밀번호를 주기적으로 변경해달라고 요청했습니다.

스타벅스는 재발 방지를 위해 강화된 인증 방안을 추가로 마련하기로 했습니다.

이번 공격에 사용된 해킹방법은 외부에서 대량으로 확보한 이용자 정보를 다른 사이트의 계정에 무작위로 대입하는 '크리덴셜 스터핑'으로 추정되고 있습니다.

외부 사이트에서 해킹한 아이디와 비밀번호를 스타벅스 앱 계정에 무작위로 대입하는 해킹 수법이 사용된 것으로, 여러 앱에서 이용자가 동일 아이디와 비밀번호를 사용하는 것을 노렸습니다.

[정다진 디지털뉴스부 인턴기자 dazeen98@gmail.com]