아이디·비번 알아내 다른 사이트 무작위 대입
결제해 둔 문화상품권 도난 당하는 등 피해 속출
인증 단계 추가하고, 임의 조치 약관 만들어
[서울=뉴스핌] 노연경 기자 = #직장인 A씨는 지난달 해외에서 네이버 로그인이 감지됐다는 메일을 받고 '직접 로그인한 게 아니면 클릭하라'고 써있는 버튼을 눌렀다. 버튼으로 연결된 사이트는 네이버 로그인 페이지. 실제 네이버 로그인 페이지와 동일한 사이트 모습에 별 의심 없이 아이디(ID)와 비밀번호를 입력하려던 A씨는 재차 발진자 메일주소를 확인한 덕에 개인정보 도용 피해를 피할 수 있었다.
 |
| 개인정보 도용 목적으로 온 메일(왼쪽)과 해당 메일와 연결된 링크를 타고 들어갔을 때 뜬 네이버 로그인 화면.[사진=독자 제공] |
A씨는 "혹시나 하는 마음에 발신자 메일주소를 다시 확인해보니 'NAVER'가 아닌 'NAVRE'로 젹혀있었다"며 "깜빡 속아 그대로 아이디랑 비밀번호를 입력했다면 그대로 정보가 다 유출됐을 것"이라고 말했다.
이처럼 최근 개인정보 도용 수법이 교묘해지면서 이커머스 업계가 보안 강화에 나섰다. 대부분의 이용자들이 여러 사이트의 아이디와 비밀번호를 하나로 통일해 쓰기 때문에 이용자가 많은 사이트에서 개인정보가 한 번 도용되고 나면 2차 피해가 발생할 수 있어서다.
지난 1월 지마켓에서 발생한 문화상품권 무단 사용도 이와 같이 한 사이트의 아이디와 비밀번호를 알아내 이를 다른 사이트에 무작위로 대입하는 '크리덴셜 스터핑(무차별 대입)' 공격으로 인한 피해였다.
도용한 개인정보를 이용해 지마켓에 로그인해 이용자가 결제해두고 사용하지 않은 문화상품권의 핀(PIN)번호를 알아내 무단으로 결제한 것이다.
이에 지마켓은 도용당한 문화상품권 피해금액 전부를 스마일캐시로 보상하고, 문화상품권의 핀번호를 확인할 때 본인인증을 하도록 인증 단계를 추가했다. 비밀번호 변경 캠페인도 진행 중이다.
지마켓 피해 이후 다른 오픈마켓도 비슷한 조치를 취했다. 11번가도 상품권 주문내역에 상품권 핀번호가 안보이도록 조치하고 조회하려면 2차 인증 하는 것으로 강화했다. 위메프는 해킹 및 이상 행위에 대한 24시간 모니터링에 들어갔다.
쿠팡은 지난달 17일 아이디와 비밀번호가 외부에 누출됐다고 의심되는 경우 쿠팡이 계정 잠금 등 임의로 보호조치를 취할 수 있 이용약관을 개정했다.
또 스미싱(문자메시지와 피싱의 합성어) 피해 예방을 위한 대처법도 안내 중이다. 최근 쿠팡 로켓배송 기사를 사칭해 '배송이 지연되고 있다'는 문자를 보내 첨부된 링크 클릭을 유도하는 스미싱이 기승을 부리자 대응에 나선 것이다.
쿠팡은 대표 연락처가 아닌 번호로 연락이 가는 경우는 없고, 첨부된 링크는 클릭하지 말라는 식으로 피해 예방 방법을 안내했다.
개인정보 보호법 개정안이 지난 7일 국무회의에서 의결되며 오는 9월 시행을 앞두고 있는 만큼, 개인정보 도용이나 유출 시 피해가 큰 이커머스업계의 보안 강화 움직임은 계속될 것으로 보인다. 개정된 법안이 시행되면 개인정보 유출 기업에게 매출의 3%까지 과징금을 부과할 수 있다.
이커머스업계 관계자는 "최근 교묘한 수법으로 개인정보를 도용하는 사례가 늘고 있어 기업의 보안강화와 더불어 이용자들의 각별한 주의가 필요한 상황"이라며 "비밀번호를 사이트별로 다르게 하고, 자주 변경할 것을 안내하는 등 피해 예방에 힘쓰고 있다"고 말했다.
yknoh@newspim.com
