인터넷
지마켓 여파에 부랴부랴...11번가, e쿠폰 ‘2차 인증’ 도입
디지털데일리
발행일 2023-01-20 14:51:19
[디지털데일리 이안나 기자] 지마켓 고객 개인정보가 도용되며 모바일 상품권을 도난당하는 사고가 발생하자 이커머스 업계가 긴장하고 있다. 로그인을 하면 e쿠폰 핀번호를 바로 볼 수 있게 설정했던 11번가는 부랴부랴 2차 인증 제도를 추가했다.
20일 11번가는 사용자가 구매한 e쿠폰 핀번호를 확인하기 전 인증 절차를 추가했다. 기존엔 e쿠폰 구매 후 마이페이지에서 ‘e쿠폰 확인’을 누르면 바로 바코드와 핀번호를 확인할 수 있었지만, 현재는 생년월일 입력 인증을 거쳐야 확인할 수 있다.
이는 전날 지마켓 고객 개인정보가 도용돼 회원들이 구매한 e쿠폰을 외부에서 사용한 피해가 발생한 데 따른 것이다. 지마켓은 회원이 로그인을 하면 마이페이지에서 바로 e쿠폰 핀번호를 확인할 수 있게 해놨는데, 2차 인증을 생략한 점이 고객 피해를 키웠다는 지적을 받았다.
이에 지마켓과 비슷한 보안구조를 갖고 있던 11번가가 급하게 보완책을 마련한 것이다. 11번가 측은 “아직까지 고객 피해로 접수된 건은 없지만 개인정보를 도용해 모바일 상품권만 빼가는 사례를 보고, 보완 필요성을 느껴 2차 인증을 하도록 업데이트 했다”고 말했다.
지마켓은 이번 e쿠폰 도난 사건에 대해 ‘크리덴셜 스터핑’ 공격으로 추정했다. 크리덴셜 스터핑은 기존에 다른 곳에서 유출된 아이디와 비밀번호를 여러 웹사이트나 앱에 무작위로 대입해, 로그인이 성공하면 해당 사용자 정보를 빼가는 공격 수법이다. 개인정보도용을 통한 e쿠폰 도난 피해가 지마켓 아닌 11번가에서도 충분히 발생할 수 있었다는 의미다.
로그인 후 바로 e쿠폰 번호를 볼 수 있도록 한 건 고객 편의 관점에선 더 유리할 수 있지만 최근 보안에 대한 중요도가 높아지면서 이커머스 업계 전반으론 e쿠폰 2차 인증이 보편화되는 추세다.
티몬은 5~6년 전부터 e쿠폰 상품은 전화번호를 입력해 문자메시지를 받아 확인할 수 있도록 운영하고 있고, 롯데온과 SSG닷컴도 핀번호를 암호화해놨다. 위메프는 e쿠폰 구매 시 마이페이지에서 확인 가능하지만, 이상 로그인이 탐지됐을 때 휴대폰 인증 등 2차 인증 프로세스를 적용하고 있다는 설명이다. 지마켓 측도 “해당 부분에 대해 개선 조치를 취할 것”이라고 전했다.
한편 이달 초 인터파크에 이어 지마켓까지 온라인쇼핑몰 업체들이 크리덴셜 스터핑 공격을 받자, 개인정보보호위원회는 이들 대상으로 조사를 시작했다. 미흡한 보안 시스템 등 위법사항 발견히 개인정보 보호법에따라 엄정히 처리한다는 계획이다. 쇼핑몰 이용자들에겐 계정정보 도용으로 인한 2차 피해가 발생하지 않도록 ▲웹사이트별 다른 비밀번호 사용 ▲2차 인증 설정 ▲안쓰는 웹사이트 탈퇴 등을 권장했다.
개인정보위 관계자는 “과거에도 개인정보 도용으로 상품권을 도난당하는 사건들이 꽤 있었기 때문에 핀번호에 보안장치를 적용하는 흐름이 생겨났다”며 “핀번호 자체는 개인정보 유출에 해당되지 않지만 계정이 도용된 부분에 있어서 조사를 진행 중”이라고 말했다.
Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지