“지마켓에서 구입한 5만원권, 누가 컬쳐캐시로 충전했다고 뜨네요. 이게 뭐죠.”

“지마켓에서 (상품권) 사서 컬쳐랜드 충전하려고 했는데, 오늘 털렸어요.”

“털린 분들 한두 분이 아니에요. 역대급인 듯.”

온라인 쇼핑몰 G마켓(지마켓)에서 구매한 미사용 상품권이 ‘사용 완료’됐거나 간편결제 서비스인 스마일페이를 통한 ‘결제 시도’가 있었다는 등의 피해 사례가 속출하고 있다.

19일 온라인 커뮤니티와 SNS 등에 따르면 지마켓을 통해 구매한 상품권이 무단 사용됐다는 피해 글이 전날부터 쇄도하고 있다. 피해액은 개인별로 소액부터 수백만원까지 천차만별이다. 일부는 스마일페이 결제 시도가 있었다는 알림 문자를 받았다며 불안감을 호소하기도 했다.



사태가 이 지경인데도 지마켓 측에서는 관련 공지나 피해 대책을 내놓지 않고 있어 고객 불만은 더 커진 상황이다. 일부 고객들은 충전해 놓은 상품권을 출금하거나 개인정보에 등록해놓은 결제 카드와 계좌 정보를 삭제하는 건 물론, 비밀번호 변경 및 탈퇴 움직임까지 보이고 있다.

지마켓 측은 언론을 통해 “이번 사태의 원인은 사이트 해킹이 아닌 개인정보 도용이 의심된다”며 “피해 발생 경위나 규모는 아직 파악 중”이라는 입장을 전했다. 또 “피해 예상 고객의 계정을 블록 처리해 로그인을 하지 못하도록 조치했으며, 문제 해결을 위한 후속 조치를 검토하고 있다”고 덧붙였다.

지마켓 측은 정확한 원인 파악을 위해 경찰에 수사를 의뢰한 것으로 알려졌다.


전문가들은 ‘크리덴셜 스터핑(Credential Stuffing)’ 공격을 의심하고 있다. 해커가 이미 유출됐거나 사전에 탈취한 아이디와 비밀번호를 여러 웹사이트나 앱에 무작위로 로그인해 개인정보를 유출하는 수법이다. 같은 아이디·비밀번호를 쓰는 사이트를 발견해 로그인에 성공하면 사용자 정보를 빼가게 되는 것이다.

개인정보위는 “최근 크리덴셜 스터핑 등 계정 정보 도용으로 개인정보가 유출된 정황이 확인된 온라인 쇼핑몰에 대해 조사를 진행하고 있다”며 “위법사항 발견시 개인정보 보호법에 따라 엄정히 처리할 예정”이라고 이날 밝혔다.

쇼핑몰 이용자에게는 계정정보 도용으로 인한 2차 피해가 발생하지 않도록 사이트별로 다른 비밀번호를 사용하고, 비밀번호 외에 휴대폰 문자인증 등 2차 인증으로 보안을 강화하고, 오래 방문하지 않은 사이트는 탈퇴할 것을 당부했다.

권남영 기자 kwonny@kmib.co.kr

GoodNews paper ⓒ 국민일보(www.kmib.co.kr), 무단전재 및 수집, 재배포금지