허프포스트코리아

쿠팡 회원 3370만 명의 개인정보를 유출해 정보 보안에 비상이 걸린 가운데, 중국계 거대 기업과 협력하고 있는 지마켓에서 ‘무단 결제’가 일어난 사실이 드러났다.

3일 유통업계에 따르면 지마켓 고객 센터에는 60여 명의 회원이 지난달 29일 ‘무단 결제’ 피해를 입었다. 금융감독원 확인 결과, 무단 결제는 지마켓 간편결제 서비스인 ‘스마일페이’에 등록된 카드로 상품권을 구입하는 방식으로 이뤄졌다. 회원들이 입은 피해는 대략 한 사람당 3만~20만 원 사이인 것으로 알려졌다.

지마켓에 따르면 이번 피해의 원인은 '크리덴셜 스터핑(Credential Stuffing)'이다.

크리덴셜 스터핑은 외부에서 유출된 고객 아이디와 비밀번호를 무작위로 대입해 결제를 시도하는 해킹법을 뜻한다. 이를테면 해킹 피해의 원인이 내부가 아니라 외부에 있는 셈이다.

이처럼 지마켓 또한 피해자이지만 기업 이미지에는 타격이 있을 것으로 보인다. 특히 중국계 거대 기업과 진행하는 협력이 사고의 원인일 수 있다는 점에서 소비자들은 지마켓에 의심의 눈초리를 보낼 수 있다.

피해 범위도 현재 60여 명 수준이지만 앞으로 더 늘어날 수도 있다. 당국의 조사 결과에 소비자와 유통 업계 모두 촉각을 곤두세우고 있다.

지마켓은 최근 중국계 거대 전자상거래기업 알리바바 그룹과 합작법인 설립을 통해 글로벌 공급망을 확보하고 국내 이커머스 시장에서 다시 한 번 승부수를 던지고 있다. 정용진 신세계그룹 회장이 직접 합작법인 이사회 의장에 오르며 힘을 싣고 있다.

현재 피해가 있고난 후 지마켓은 이미지 쇄신을 위해 홈페이지에 개인정보 보호 강화 대책’을 공지하고 ▲로그인 비밀번호 변경 ▲로그인 2단계 인증 ▲보안 알림 기능 사용 등을 권장하며 피해 방지에 나서고 있다. 또 기프트 상품권 등 환금성 상품을 구매하는 회원에 대해 본인 인증을 강화했다고 밝혔다.

한편 해당 사건을 접한 누리꾼들은 “본인이 아무리 조심해도 계속 이런 식이니 너무 짜증난다”, “모든 정보통신 보안은 전수조사가 필요하다”, “이게 쿠팡 사건보다 훨씬 심한거 아닌가”등 반응을 보이고 있다.

한편 최근 쿠팡에서 3370만 명의 개인정보가 유출된 가운데, 유출범의 정체는 현재 쿠팡에서 퇴사한 중국인 내부 직원인 것으로 알려졌다. 해당 직원은 퇴사 후 아직 유효 기간이 만료가 안된 '인증키'를 이용하여 개인정보를 털었다. 이로 인해 쿠팡이 로그인에 사용되는 '토큰 서명키' 유효인증기간을 5년~10년 가량 설정한 사례가 밝혀져 보안 문제가 수면 위로 떠오르기도 했다.