[디지털데일리 이종현기자] 스타벅스 코리아의 애플리케이션(앱) 이용자 90여명의 계정이 해킹돼 충전금 약 800만원이 부정 결제되는 사고가 발생했다. 스타벅스 측은 “아이디/패스워드를 무작위로 조합한 후 로그인해 충전금 결제를 도용했다”고 알렸다.

사고가 발생한 것은 7월10일경이다. 스타벅스 코리아는 자사 홈페이지 공지사항을 통해 ‘일부 계정 도용 거래 주의 안내’ 게시글을 업로드했다.

스타벅스 측은 “해외 IP를 통해 당사 앱에 부정 로그인 시도가 있었다. 로그인에 성공한 계정의 충전금 결제를 도용한 사건”이라며 “해당 사건 확인 즉시 공격자의 해외 IP를 차단하고 관계기관에 신고를 완료했다. 고객에게는 비밀번호 재설정 안내 등 추가 조치를 했다. 일부 피해가 확인된 고객 충전금은 당사가 전액 보전했다”고 전했다.

또 사고의 예방을 위해 아이디와 비밀번호를 여러 사이트에서 동일하게 사용하는 고객에게는 주기적으로 변경해 줄 것을 당부하기도 했다.

스타벅스가 밝힌 내용이 사실이라면 해킹에 사용된 기법은 크리덴셜 스터핑(Credential Stuffing)이다. 크리덴셜 스터핑은 다크웹 등에서 구매한 계정정보를 바탕으로 여러 웹사이트, 서비스에 로그인하는 수법이다. 통상 복수의 웹사이트, 서비스에 같은 아이디, 비밀번호를 사용하는 경향을 이용한다.

크리덴셜 스터핑의 경우 앱 자체가 해킹되는 사례는 아니다. 어딘가에서 아이디, 비밀번호 등 계정정보가 노출됐고 해커가 이를 악용한 것인 만큼 스타벅스 측에 온전한 책임을 물기 어렵다. 실제 다크웹이나 텔레그램 등에서는 계정당 수십원에 거래가 이뤄지고 있는 상황이다.

그러나 스타벅스 앱이 다만 현금성 자산이라고 볼 수 있는 선불카드나 충전금 등을 다룸에도 해외 로그인 IP에 대한 차단이나 2차 인증 등을 도입하지 않은 것은 비판의 여지가 있다. 스타벅스가 앱의 ‘사이렌오더’를 바탕으로 금융사의 주요 경쟁사로 급부상했지만 정작 고객 안전에는 충분한 노력을 하지 않았다는 지적이 나온다.

통상 유사 서비스를 제공하는 기업의 경우 로그인과 별개로 결제가 이뤄질 때 별도의 간편비밀번호를 입력하도록 하는 것이 일반적이다. 하지만 스타벅스는 이와 같은 조치가 이뤄져 있지 않은 것으로 확인됐다. 계정에 저장돼 있는 자산이 언제든지 사용될 수 있다는 의미다.

2022년 기준 스타벅스의 선불 충전금을 의미하는 선수금 규모는 2983억원이다. 2021년대비 19%로는 2018년 941억원 대비 5년 만에 3배 늘었다. 2983억원이 안전장치 없이 노출돼 있다는 의미다.

이중 선불카드의 경우 환불도 어렵다. 스타벅스는 등록된 선불카드와 관련 ‘환불은 최종 충전 후 합계 잔액의 60% 이상이 사용된 경우에만 가능하다. 60% 미만 사용시에는 잔액 이전만 가능하다’고 안내하고 있다. 소비자로서는 스타벅스의 빠른 조치를 기다릴 수밖에 없는 상황이다.