안 쓴 상품권 ‘사용 완료’?…지마켓 “개인정보 도용 의심”

실시간
뉴스

인터넷

안 쓴 상품권 ‘사용 완료’?…지마켓 “개인정보 도용 의심”

디지털데일리 발행일 2023-01-19 11:33:54

이안나

URL복사

[디지털데일리 이안나 기자] 지마켓 계정을 갖고 있는 일부 고객들 개인정보가 도용된 정황이 나타났다. 지마켓에서 구매하고 아직 사용하지 않은 상품권들이 ‘사용완료’라고 뜨는 사례가 동시다발적으로 발생한 것. 지마켓은 해킹이 아닌 개인정보 도용으로 파악하고 있으며, 후속 조치를 취하겠다는 입장이다.

19일 네이버 카페 등 온라인 커뮤니티 중심으로 지마켓 관련 피해 호소글이 지속해서 올라오고 있다. 피해 사례 대부분은 선결제로 구매만 하고 보관 중이던 미사용 상품권들이 ‘사용 완료’로 표시된다는 내용이다.

문화상품권이나 영화관람권 등 e쿠폰들은 주로 정가가 아닌 할인된 가격에서 판매된다. 이에 소비자들은 절약을 위해 미리 할인된 가격으로 상품권을 구매해 사용하는데, 본인이 아닌 외부 누군가가 상품권을 사용한 것으로 파악된 것이다.

G마켓은 “해킹 감시는 항상 모니터링을 통해 하고 있는데, 이번 사례는 해킹이 전혀 아니다”라며 “정확한 내용은 파악 중이나 외부에서 개인정보 입수 후 이를 이용한 개인정보 도용으로 보고 있다”고 말했다.

즉 신원 미상 공격자가 사전 외부에서 수집한 것으로 추정되는 아이디와 비밀번호를 이용해 지마켓에 로그인 시도를 한 것으로 추정된다는 것. ‘크리덴셜 스터핑’ 공격으로 추정되는 대목이다.

크리덴셜 스터핑은 기존에 다른 곳에서 유출된 아이디와 비밀번호를 여러 웹사이트나 앱에 무작위로 로그인해, 개인정보나 자료를 유출하는 수법이다. 최근 인터파크도 크리덴셜 스터핑으로 추정되는 공격을 받았다며 일부 회원들에게 비밀번호 변경을 권장한 바 있다.

G마켓은 피해 입을 수 있는 예상 고객 계정을 ‘블록’ 처리를 해 로그인을 못하도록 조치를 취했다. 현재 문제를 해결하기 위한 후속 조치 등을 검토하고 있다. 단 피해 규모가 어느 정도인지는 파악 중이라는 입장이다.

G마켓은 “개별 피해자에게 사이버수사대 신고를 안내하고 있다”며 “해킹 아닌 개인정보 도용 도 한국인터넷진흥원(KISA) 등 관계기관에 신고할 수 있는데, 오늘 중 파악해 신고 여부를 결정할 것”이라고 말했다.