G마켓(지마켓) 이용자들의 상품권 도용 피해가 잇따르는 가운데 개인정보보호위원회가 이용자와 기업에 ‘크리덴셜 스터핑’ 수법에 각별히 주의하라고 19일 당부했다.
크리덴셜 스터핑 공격은 해커가 이미 유출되거나 사전에 탈취한 사용자 계정(ID)과 비밀번호를 다른 웹사이트 등에 무작위로 대입해서 로그인이 성공하면 해당 사용자 정보를 빼가는 공격 수법이다.
온라인쇼핑몰 등 인터넷 이용자들은 여러 웹사이트에 동일한 계정(ID)과 비밀번호를 사용하는 경우가 많아, 한 곳에서 계정과 비밀번호가 탈취되면 여러 사이트에서 계정을 도용한 개인정보 유출이나 금전 피해를 입을 수 있다.
개인정보위는 “최근 크리덴셜 스터핑 등 계정정보 도용으로 개인정보가 유출된 정황이 확인된 온라인쇼핑몰에 대해 조사를 진행하고 있다”며 “위법사항 발견시 개인정보 보호법에 따라 엄정히 처리할 예정”이라고 밝혔다.
쇼핑몰 이용자에게는 계정정보 도용으로 인한 2차 피해가 발생하지 않도록 △사이트별로 다른 비밀번호 사용 △비밀번호 외에 휴대폰 문자인증 등 2차 인증으로 보안 강화 △오래 방문하지 않은 사이트 탈퇴 등을 권유했다.
양청삼 개인정보위 조사조정국장은 “온라인쇼핑몰 사업자들은 계정정보 도용 피해가 발생하지 않도록 도용 의심사례가 없는지 사용자 접속기록 및 이용현황을 철저히 점검하고, 가능하다면 비밀번호 변경 안내, 2차 인증 등 계정정보 도용 방지를 위한 추가 조치를 취해야 한다”고 당부했다.
앞서 이날 온라인 커뮤니티 등에는 지마켓에서 구매한 모바일 상품권 도난 사례들이 잇따라 올라왔다. 지마켓 측은 원인을 크리덴셜 스터핑으로 추정하며 피해 규모 파악 등 후속 조치를 마련 중이라고 밝혔다.
