스타벅스 코리아 공지스타벅스 코리아 앱 계정 90여개가 해킹당해 이용자들의 충전금 약 800만원이 부정결제 됐다.
14일 업계에 따르면 스타벅스 코리아는 지난 12일 홈페이지를 통해 “10일 불법 취득한 아이디, 패스워드를 무작위로 조합한 후 해외 IP를 통해 당사 앱에 부정 로그인한 시도가 있었다”며 “로그인에 성공한 계정의 충전금을 도용해 결제했다”고 밝혔다.
이어 “당사는 해당 사건 확인 즉시 공격자의 해외 IP를 차단하고 관계 기관에 신고했다”면서 “피해가 확인된 고객의 충전금은 당사가 전액 보전했다”고 말했다.
해킹 피해 최초 신고는 지난 8일 접수됐다. 서울에 사는 이모씨가 스타벅스 앱에서 충전된 금액이 돌연 0원으로 뜬다며 신고한 것이다.
경기도에 사는 또다른 피해자 김모씨는 지난 10일 ‘해외IP를 통한 이상 접근이 있어 계정이 잠금처리됐다’는 문자메시지를 받고 스타벅스 앱을 확인했다가 누군가가 자동 연결된 자신의 신용카드로 30만원을 충전해 텀블러 여러 개를 구매한 것을 발견했다.
이 같은 부정결제는 주로 현금화가 가능한 텀블러 구매에 집중돼 있었는데, 지금까지 약 90개 계정에서 800만원의 피해 금액이 발생한 것으로 파악됐다.
이번 해킹에는 외부 사이트에서 해킹한 아이디와 비밀번호를 스타벅스 앱 계정에 무작위로 대입하는 ‘크리덴셜 스터핑’ 수법이 사용된 것으로 추정된다. 크리덴셜 스터핑이란 일반적으로 여러 앱에서 같은 아이디와 비밀번호를 사용하는 패턴을 노린 수법이다.
스타벅스는 “여러 사이트에서 같은 아이디와 비밀번호를 사용하는 고객의 경우 관련 피해를 볼 수 있다”면서 “아이디와 비밀번호를 주기적으로 변경해 달라”고 요청했다.
이어 “불편함과 번거로움에 사과드린다”면서 “재발 방지를 위해 강화된 인증 방안을 추가로 마련하겠다”고 덧붙였다.
