한국에서 스타벅스를 운영하는 SCK컴퍼니가 자사 스타벅스 애플리케이션에 부정 로그인이 시도됐다고 13일 밝혔다. 이에 따라 소비자 90여명의 충전금 약 800만원이 도용됐다. 아직 피해 사례를 알지 못하는 소비자가 나올 수 있다는 점을 감안하면 피해액은 더 커질 수 있는 상황이다.

스타벅스를 운영하는 SCK컴퍼니가 스타벅스코리아 홈페이지 공지사항에 '일부 계정 도용 거래 주의'라는 제목으로 글을 올렸다./스타벅스코리아 홈페이지 캡처

13일 SCK컴퍼니는 스타벅스코리아 홈페이지에서 “10일 외부에서 불법 취득한 아이디와 패스워드를 무작위로 조합한 후 해외 IP를 통해 앱에 부정 로그인한 시도가 있었다”고 했다. 부정 로그인에 성공한 계정에서는 고객의 충전금을 도용했다.

이번 공격에 사용된 해킹방법은 외부에서 대량으로 확보한 아이디와 비밀번호 등 이용자 정보를 다른 사이트의 계정에 무작위로 대입하는 ‘크리덴셜 스터핑’으로 추정되고 있다. 여러 앱에서 이용자가 동일 아이디와 비밀번호를 사용하는 것을 노린 것이다.

SCK컴퍼니는 공지문에서 “고객들의 개인 정보와 자산을 보호하기 위한 최선의 노력을 다하겠다”며 “불편함과 번거로움에 머리 숙여 사과드린다”고 밝혔다. SCK컴퍼니는 “사고의 예방을 위해 아이디와 비밀번호를 여러 사이트에서 동일하게 사용하는 고객은 주기적으로 변경해 달라”고 주문했다.

SCK컴퍼니는 사건 확인과 함께 공격자의 해외 IP를 차단하고 관계 기관에 신고했다고 밝혔다. 피해가 확인된 고객의 충전금은 회사 차원에서 전액 보전할 계획이다. SCK컴퍼니는 재발방지를 위해 강화된 인증 방안을 추가로 마련한다고 밝혔다. 먼저 안드로이드 스마트폰에서 앱 화면 캡처 기능을 막았고 조만간 아이폰에서도 앱 화면 캡처 기능을 막을 예정이다.

보안업계에서는 부정 로그인 시도와 피해 사례를 알리는 글들이 인터넷 커뮤니티에 11일 무렵부터 올라왔다는 점을 들어 SCK컴퍼니의 사실 확인 및 대응이 다소 지연된 것 아니냐는 지적을 하고 있다. 보안업계 관계자는 “선불금을 대거 쌓아뒀다면 이를 안전하게 보관하고 시스템적으로 안전성을 완비할 책임도 있다”면서 “소비자들에게 비밀번호 변경만 독려할 일은 아니다”고 했다.

그래픽=정서희

스타벅스코리아에 고객들이 쌓아둔 선불 충전금이 지난해 기준 3000억원에 육박하는 것으로 나타났다. 이는 1년새 400억원이나 증가한 수치다.

스타벅스 사이렌오더(선불로 돈을 충전해놓고, 원하는 음료를 사전에 주문할 수 있는 시스템) 서비스가 고도화된 이후 이용객이 지속 증가하면서 고객들이 쌓아두는 돈도 해마다 늘어난 것으로 풀이된다. 올해 1월엔 스타벅스의 선불 충전 카드 이용 회원이 1000만명을 돌파하기도 했다.