최근 한 온라인 커뮤니티에는 하루 만에 스타벅스 앱을 통해 온라인과 현장결제가 11차례 이뤄지면서 280만원 가량의 부정결제 피해를 봤다는 글이 올라왔다.
글쓴이 A씨는 "스타벅스 앱과 연동된 계좌에서 30만원이 온라인 결제됐고 이어 사용하지 않은 다른 사람의 앱카드를 통해 추가로 서울 시청과 명동에 있는 스타벅스에 250만원이 결제됐다. 구입한 물건은 대부분 텀블러였다"라고 주장했다.
A씨는 "대한민국 국민 상당수가 스타벅스를 이용하는 상황에서 결제 관련 사고는 큰 문제라고 본다”라며 “스타벅스 자동충전을 해지해 놓길 바란다”라고 했다.
이에 대해 스타벅스코리아는 지난 13일 자사 홈페이지를 통해 “지난 10일 해외에서 불법 취득한 아이디와 패스워드를 이용한 부정 로그인 시도가 있었다”라며 “로그인에 성공한 계정의 충전금 결제를 도용한 사건이 발생했다”라고 밝혔다.
지금까지 스타벅스코리아가 파악한 피해 사례는 90여건으로 도용된 충전금은 약 800만원에 달한다.
이번 공격에 사용된 해킹방법은 외부에서 대량으로 확보한 아이디와 비밀번호 등 이용자 정보를 다른 사이트의 계정에 무작위로 대입하는 ‘크리덴셜 스터핑’으로 추정되고 있다. 여러 앱에서 이용자가 동일 아이디와 비밀번호를 사용하는 것을 노린 것이다.
스타벅스코리아는 사건 확인과 함께 공격자의 해외 IP를 차단하고 관계 기관에 신고했다고 밝혔다. 고객에겐 비밀번호 재설정 안내 등 추가 조치를 했다. 일부 피해가 확인된 고객의 충전금은 회사 차원에서 전액 보전했다.
스타벅스코리아는 "재발방지를 위해 안드로이드 스마트폰에서 앱 화면 캡처 기능을 막았고 조만간 아이폰에서도 앱 화면 캡처 기능을 막을 예정"이라며 "이는 앱의 바코드를 캡처해 다른 사람과 공유하는 것을 막기 위한 조치"라고 했다.
yuhyun12@fnnews.com 조유현 기자
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지