실시간
뉴스

보안

계정·카드번호까지 유출...뉴스레터 서비스 '스티비' 해킹에 이용자 불안↑

뉴스레터 서비스 '스티비' 개인정보 유출 관련 안내 및 사과 메일 [ⓒ독자 제공]

[디지털데일리 김보민기자] 뉴스레터 서비스 '스티비'에서 개인정보 유출 사고가 발생한 가운데, 피해를 입은 사용자들 사이 우려가 커지고 있다. 계정부터 카드 정보까지 개인 데이터가 빠져나간 것으로 확인되면서 2·3차 피해가 발생할 수 있는 관측도 제기되고 있다.

24일 스티비 홈페이지에 따르면, 스티비 서버는 이달 17일 해킹 공격을 받았다. 이후 사용자 개인정보가 외부에 조회된 사실이 확인됐고, 스티비 측은 19일 사태를 인지한 즉시 관련 기관에 신고 조치를 완료했다. 스티비는 홈페이지 공지문을 통해 "현재 계정 및 결제와 관련한 모든 활동을 모니터링하고 있고, 개인정보 유출로 인한 피해를 최소화하도록 관계 당국 및 전문기관과 협력하고 있다"고 밝혔다.

스티비는 "내부적으로 필요한 조치를 완료했다"는 입장이다. 다만 사용자들 사이에서는 우려 섞인 목소리가 나오고 있다. 사태 파악 이후 스티비가 사용자들에게 발송한 안내 메일 때문인데, 본문 내용에는 스티비 로그인 정보와 신용 정보(결제 시 사용한 카드 정보)가 노출됐다는 내용이 담겨 있었다.

메일 내용에는 노출된 로그인 정보와 카드번호가 '별표(*)' 표시로 일부 가려져 있었지만, 실제 연락처 11자리와 카드번호 16자리 모두 유출된 것으로 확인됐다. 안내에 따르면 카드 비밀번호 앞 두 자리 또한 이번 해킹 사고로 노출됐다.

후속 피해를 배제할 수 없는 부분이다. 먼저 계정 정보 측면에서 '크리덴셜 스터핑'이 이어질 가능성이 있다. 크리덴셜 스터핑은 공격자가 아이디와 비밀번호 등 계정 정보를 탈취한 뒤, 이를 이용해 다른 웹사이트와 서비스에 무작위 로그인 시도를 하는 위협 방식을 뜻한다. 사용자들이 동일한 계정 정보를 다양한 웹사이트에서 활용하고 있다는 점을 악용한 것으로, 가장 기본적인 공격 방식으로도 꼽힌다. 다중인증 방식 등을 채택하지 않는 사이트라면, 계정 정보가 맞을 시 즉시 로그인이 가능해진다.

카드 정보 또한 후속 공격에 악용될 수 있다. 사용자가 승인하지 않은 결제나 인출이 이어질 수 있기 때문이다. 특히 카드 번호와 더불어 비밀번호 앞 두 자리, 생년월일 혹은 사업자등록번호가 유출되면서 관련 정보를 악용할 가능성 또한 커진 상태다.

스티비 측은 이번 메일을 통해 비밀번호를 재설정하라고 안내했다. 특히 "스티비는 사고 발생 직후 추가적인 피해 방지를 위해 2단계 인증을 켜둔 상태"라며 "당사 서비스의 비밀번호를 재설정하고, 동일한 비밀번호를 사용 중인 다른 서비스 비밀번호도 변경해 주시기를 바란다"고 말했다.

스티비 서비스 사용료를 결제한 이력이 있는 카드를 재발급하라고도 안내했다. 추가 피해를 예방하기 위해 카드사에 이용 정지와 재발급 절차를 신청하라는 취지다. 다만 일각에서는 사용자에게 이번 사고에 대한 우려와 부담을 전가한 것이 아니냐는 볼멘소리도 나온다. 카드 사용 편의 등을 침해할 요인이 있기 때문이다.

스티비 측은 추후 보상 사항 등을 논의해 안내하겠다는 입장이다. 내부적인 대응 조치도 강화하겠다고 밝혔다. 스티비는 "당사는 이번 사고 발생 후 강화된 보안정책을 적용해 개인정보 외부 유출을 원천 봉쇄하는 제반 조치를 취하고, 서비스 제공을 위한 최소한의 정보 만을 보유하도록 방침을 변경할 것"이라며 "전 직원의 보안 의식을 철저히 해 향후 사고가 재발하지 않도록 개인정보 보호에 만전을 기하겠다"고 강조했다.

한편 스티비는 추가 피해를 방지하기 위해 사고대응 고객센터를 설치해 운영하고 있다. 개인정보 유출 확인과 피해 사실 접수는 공식 홈페이지를 통해 진행할 수 있다.

디지털데일리 네이버 메인추가
x