본문 바로가기
Security Essay

지마켓(G마켓) 상품권 핀번호 도난 논란

by _Jay_ 2023. 1. 20.
반응형

 

 

어제 지마켓에서 고객 개인정보가 도용되어 고객이 구매한 모바일 상품권 핀번호가 도난당했다는 글이 인터넷 커뮤니티에 올라왔습니다. 회사 측에서는 접속사 전원에게 본인인증을 재확인하고 비밀번호를 변경하라고 공지했는데요. 대부분의 피해 사례는 이용자가 상품권을 결제한 후 보관하고 있던 미사용 상품권 핀번호가 무단으로 사용되었다고 합니다.

 

한 피해자는 100만원 어치의 상품권 핀번호를 도난당했다고 하는데요. 지마켓에서는 크리덴셜 스터핑 공격의 가능성이 높다고 주장하고 있는데, 이번 글에서는 어떻게 지마켓에서 구매한 상품권 핀번호가 탈취되었는지 설명드리도록 하겠습니다.


지마켓에서는 우리가 보통 문화상품권이라고 부르는 컬쳐랜드 상품권을 5~10% 정도 할인해서 판매하고 있습니다. 특히 이 상품권의 핀번호를 이용하여 상당수의 게임 사이트와 온라인 마켓에서 이용할 수 있기에 애용하는 사람들이 많은데요.

 

그런데 지난 14일 지마켓에서 한 이용자의 계정이 중국으로 추정되는 IP로 로그인한 것을 확인되었다고 합니다. 보통 지마켓에서 할인을 하는 상품권들을 대량으로 사 놓은 후에 나중에 쓰려고 미사용 상태로 보관을 해두는데, 이때 사용하지 않은 상품권의 핀번호를 탈취하여 해커가 사용한 것이죠.

 

미미사용 상품권이 다른 곳에서 사용되었다며 피해자가 올린 사진, 출처: 보안뉴스(boannews)

 

지마켓 측에서는 이번 상품권 핀번호 도난 사건에 대해 의심스러운 서버 접근은 없었기에 크리덴셜 스터핑 공격이 이루어진 것으로 보인다고 말했는데요. 보통 SSG나 티몬과 같은 사이트에서는 계정이 도용당해도 구매 페이지에서 상품권 핀번호를 볼 수 없도록 암호화되어 있죠.

 

하지만 지마켓에서는 단순히 로그인만 해도 이용자가 구입한 핀번호를 볼 수 있었는 것입니다. 보통은 암호화가 된 핀번호를 SMS나 OTP 등을 통해서 이용자가 볼 수 있도록 해놓는데, 지마켓에서는 이러한 추가 인증 체계가 갖춰지지 않았던 것이죠.

 

 

사라지는 컬쳐랜드 상품권들... 지마켓에서 무슨 일이?

지마켓에서 구입한 컬쳐랜드 상품권 등 온라인 상품권이 사라지는 사건이 발생해 사용자의 주의가 요구된다. 쇼핑 온라인 커뮤니티에 ‘지마켓에서 구입한 컬쳐랜드 상품권 오십만원이 털렸다

www.boannews.com

 

이번 사건은 해커가 다크웹에 올라온 다른 곳에서 탈취된 계정 정보들을 지마켓에 입력해보는 크리덴셜 스터핑 공격을 통해 상품권 핀번호를 가져간 것으로 보입니다. 지마켓 관계자는 회사의 귀책사유가 확인되면 보상을 하겠다고 밝혔는데, 사실 핀번호를 확인하는데 추가 인증을 하지 않았다는 것 자체만으로도 명백한 보안사고라고 봐야겠죠.

 

지마켓과 같이 결제를 할 수 있는 온라인 사업자들이 지켜야 하는 안전조치 의무를 다 하지 않았기 때문에 수사 결과도 이용자들에게 유리하지 않을까 싶습니다. 이와 관련된 추후 보도가 이어지면 다시 말씀드리도록 하고 이번 글은 여기서 줄이죠. 읽어주셔서 감사합니다.

 

 

반응형

댓글