스타벅스 충전금 앱 해킹 관련 뉴스

2023년 7월 14일 스타벅스 충전금 해킹에 관한 뉴스 입니다.
 
해킹을 통해 탈취한 개인계정 충전금을 무단으로 수십만원씩 한꺼번에 사용하는 방식이라 피해규모가 클 것 으로 보입니다.

 

 

 

1. 스타벅스 충전금 해킹 관련하여

스타벅스 코리아의 애플리케이션이 뚫려 선불 충전금을 타인이 부정 사용했다는 피해 사례가 잇따르고 있습니다.

이용자 90여명 계정이 해킹된 가운데, 피해자가 더 늘어날 수 있어 스타벅스는 지난 10일 홈페이지에 공지를올리고 "불법 취득한 아이디와 암호를 조합해 로그인 한 뒤, 선불 충전금 결제를 도용한 사례가 파악됐다"며 고객들에게 앱 비밀번호 변경을 권고 했습니다.

 

스타벅스코리아는 지난 12일 홈페이지를 통해 "10일 불법 취득한 아이디, 패스워드를 무작위로 조합한 후 해외 IP를 통해 당사 애플리케이션에 부정 로그인한 시도가 있었다"며 "로그인에 성공한 계정의 충전금을 도용해 결제했다"고 공지했습니다. 스타벅스 측은 현재까지 이용자 90여명 계정이 해킹돼 선불충전금 약 800만원이 부정결제 되었으나, 해킹된 계정 수는 더 많은 것으로 파악된다고 알렸습니다. 스타벅스가 해킹 사실과 함께 사과문을 올린 지 이틀이 지난 뒤에도 추가적으로 피해사례가 더 드러난 것으로 확인 되었습니다.

 

스타벅스는 지난 8일 처음으로 피해고객의 신고가 고객센터에 접수 되었지만, 10일에서야 조직적 공격이라는 것을 파악하고 즉시 경찰과 한국인터넷진흥원에 신고했고, 12일 홈페이지 공지문을 통해 사실을 알렸고, 도용이 이뤄진 해외IP를 차단했다고 덧붙였습니다. 

 

스타벅스 애플리케이션 사용자인 A씨는 이전 피해사례들처럼 부정결제는 혀금화가 가능한 텀블러 구매에 집중돼 35만원 가량이 결제된 영수증과, 선불 충전금은 '0원'인 상태를 확인했다. 다만 A씨는 실제 피해금액은 텀블러 결제 금액을 제외한 선불충전금 48,500원이라고 설명했습니다. A씨는 "오늘 오후 스타벅스 계정을 잠금처리했다는 문자를 받고 애플리케이션을 확인하니 50,000원 가량 선불충전금이 모두 사라져 있었다"며 피해금액이 아직 보상되지 않아 고객센터에 문의했더니 다음주 월요일 모두 복구해주겠다고 했다고 말했습니다.

 

스타벅스 측은 관계기관에 신고 한 후에도 추가공격 시도가 있을 수 있어, 모니터링을 하며 선제적으로 대응하고 있다고 7월 10일 해외IP를 차단한 이후 의심 정황이 많이 감소하고 있다고 전했습니다.

 

 

 

 

2. 크리덴셜 스터핑으로 추정

 

이번 해킹공격은 외부에서 대량 확보한 아이디와 비밀번호 등 이용자 정보를 다른 사이트 계정에 무작위로 대입해 로그인을 시도하고 고객 정보 등을 빼내는 크리덴셜 스터핑으로 추정됩니다.

스타벅스 모바일 애플리케이션은 아이디와 비밀번호만 입력하면 별도의 인증절차 없이 애플리케이션카드에 충전한 금액을 결제할 수 있다는 점이 문제를 키웠다고 지적 되고 있습니다.

 

연초 지마켓도 크리덴셜 스터핑 공격을 당해, 고객들이 선결제로 구매만 하고 보관 중이던 미사용 상품권들이 '사용완료'라고 뜨는 등 사례가 발생한 적이 있었고, 2019년에는 홈플러스에서 크리덴셜 스터핑 공격이 발생했었습니다. 당시 홈플러스는 피해고객에게 피스워드를 즉시 초기화 한 후 새로운 비밀번호를 사용하도록 이메일 및 문자메세지를 개별안내 했었습니다. 홈플러스나 지마켓의 경우 일부 고객에 그쳤으나, 스타벅스의 경우 훨씬 심각할 수 있습니다. 

 

 

 

 

3. 마지막으로

스타벅스 측은 "여러 사이트에서 같은 아이디와 비밀번호를 사용하는 고객은 관련 피해를 볼 수 있으니 아이디와 비밀번호를 주기적으로 변경 해달라. 재발 방지를 위해 강화된 인증 방안은 추가로 마련하겠다"고 덧붙였습니다.

여러 사이트에서 아이디와 비밀번호를 동일하게 사용하는 경우 해커들의 표적이 될 수 있으니, 사고예방을 위해서  가장 먼저 아이디와 비밀번호를 교체하는 작업을 하는 편이 좋을 것 같습니다.