지마켓 구매 미사용 상품권 "사용됐다" 피해 사례 속출 계정 보호 조치된 사례도 다수, '크리덴셜 스터핑' 추정 지마켓 "빠르게 상황 파악, 해야할 것 있으면 대책 마련"
사진=온라인커뮤니티 캡쳐
지마켓 고객 계정이 대거 도용된 정황이 포착됐다. 지마켓을 통해 구매한 미사용 상품권이 돌연 '사용 완료'됐다거나, 지마켓 간편결제 서비스인 스마일페이를 통한 결제가 시도됐다는 사례가 온라인 커뮤니티 상에 속출하고 있다.
온라인 커뮤니티 뽐뿌에는 19일 이런 내용의 피해 호소글이 잇따르고 있다. 지마켓에서 상품권을 구입했다는 A씨는 "지마켓 상품권 100만원을 선결제 했는데 어제(18일) 확인해보니 지난 16일 모두 사용됐다고 확인됐다"고 했다.
같은 경로로 편의점 이마트24 상품권을 구매했다는 B씨는 "잔액을 조회하니 사용 가능한 쿠폰이 없다고 뜬다"며 황당해했다. 그러면서 "고객센터로 확인해보니 최근 지마켓을 통해 (상품권을) 구매한 소비자들의 상품권들이 중국쪽 IP에서 사용하는 것이 감지됐다고 한다"고 덧붙였다.
또 많은 고객은 자신의 계정이 돌연 접속 제한(계정보호)됐다고 주장한다. C씨는 "(고객센터와 오늘 통화해보니) 알 수 없는 기술적 이유로 회원들의 계정이 보호에 들어간 것이 사실이라고 했다"고 적었다.
보안업계 한 관계자는 "(지마켓이) 크리덴셜 스터핑 공격을 당한 것으로 의심된다"고 조심스레 말했다.
크리덴셜 스터핑은 한 곳에서 유출된 정보로 다른 곳에서 무작위 대입하는 사이버 공격이다. 많은 이들이 하나의 아이디와 비밀번호를 복수의 사이트에서 활용해 예상보다 피해사례가 많다.
실제 MS가 지난해 미국 성인 1248명을 대상으로 조사한 내용을 보면, 응답자 10명 중 1명꼴로 모든 사이트에 동일한 비밀번호를 사용했다. 또 응답자 40%는 이름 뒤에 숫자만 바꾸는 등 단순한 규칙을 적용해 비밀번호를 업데이트한다. 그 결과 전 세계에서 매초 579건, 매년 180억건의 비밀번호 해킹사고가 발생해왔다.
국내에서도 지난 2016년 같은 이유로 한 이커머스 업체 고객들의 적립금이 모두 사라진 사례가 있다. 지마켓 관계자는 본지와의 통화에서 "개인정보 도용 의심 감지 후 개인정보 블락 등 조치를 취했다"며 "추가 상황을 파악 중에 있다"고 말했다.
한편, 일부 고객은 지마켓이 해당 사실을 미리 인지하고도 감추는 모양새라고도 꼬집는다.
D씨는 "처음 이와 같은 사례가 발생했다고 한 고객이 지난 10일 글을 올렸다"며 "당시 그 소비자는 고객센터와 통화도 했고, 보상을 해준다고도 했다는데 이후 아무런 대처가 없다고 했다. (지마켓 측이) 이미 고객 계정이 해킹된 것을 알고도 쉬쉬한 것이 아니냐"고 지적했다.
