| 10개월 만에 또 해킹 당해 고객 포인트 빼앗겨

BGF리테일이 운영하는 편의점 씨유(CU) 모바일 애플리케이션 '포켓CU'에서 일부 고객의 아이디와 비밀번호가 도용돼 금전적 피해가 발생한 것으로 확인됐다. 포켓CU는 지난해 4월에도 같은 피해를 입어 이용자 개인정보와 포인트가 탈취되기도 했다.

뉴스저널리즘이 12일 BGF리테일에 확인한 바에 따르면, 최근 모바일 애플리케이션 포켓CU에서 해킹 사고가 발생해 이용자의 포인트가 탈취된 내역을 확인했다. BGF리테일 측은 자세한 피해 내역을 확인하기에 앞서 피해 고객에 비밀번호 변경을 당부하는 내용의 메시지를 발송한 상황이다.

포켓CU에서 발생한 해킹은 국내외 플랫폼에서 피해가 확인되고 있는 '크리덴셜 스터핑(Credential Stuffing)'으로 추정된다. 크리덴셜 스터핑 해커가 미리 확보한 이용자 계정 정보를 또 다른 플랫폼 등에 무작위로 대입해 사용자 계정을 탈취하는 공격 방식이다. 일반적으로 피싱 페이지나 스미싱(SMS 피싱) 등으로 탈취된 계정 정보가 크리덴셜 스터핑 공격에 이용된다.

BGF리테일에 따르면 이번 해킹 사고로 현재까지 700만원 상당의 포인트가 탈취된 것이 확인했으며, 정확한 피해 규모는 현재 파악 중에 있다. 회사는 피해 규모와 경위 등을 상세하게 확인한 후 홈페이지 공지 등을 진행할 예정이다.

BGF리테일 관계자는 "이용자 계정 도용 건으로 고객에 비밀번호 재설정을 안내했으며, 포인트 피해 고객에는 전액 원상 복구를 완료했다"라며 "개인정보 마스킹 처리 등으로 개인정보 유출은 없었으며, 상품권 선물 시 비밀번호 입력에서 본인 인증 단계를 강화하는 조치를 완료했다"라고 전했다.

BGF리테일이 운영하는 포켓CU는 지난해 4월에도 크리덴셜 스터핑 공격으로 인한 개인정보 유출 및 금전적 피해가 발생한 바 있다. 당시 포켓CU에서 발생한 해킹 피해로 600명 규모의 고객 개인정보가 유출됐으며, 80만원 상당의 포인트가 탈취됐다. 유출된 개인정보는 △생년월일 △이메일 △전화번호 △주소 등이다.

해킹 피해가 발생한 지 일 년 채 되지 않아 같은 피해가 발생한 것은, 포인트 탈취 등의 피해를 막기 위한 보완이 미비했던 영향으로 풀이된다. 해킹으로 인한 개인정보 피해를 방지하기 위해 마스킹 처리 등 보안 강화를 확대했으나, 해킹된 계정으로 포인트가 탈취되는 것을 막기 위한 추가 보안 조치는 부족했던 것이다.

한편 BGF리테일은 지난해 2월 중국 해킹 조직 '샤오치잉'으로부터 홈페이지 해킹 피해를 입기도 했다. 당시 한국인터넷진흥원(KISA)에 따르면 CU 홈페이지를 해킹한 중국 해커 조직은 오라클 웹 로직 서버(Oracle WebLogic Server) 취약점을 이용해 홈페이지를 해킹한 것으로 추정된다. 이는 해킹 공격에 취약한 낮은 버전을 사용한 것이 원인으로, 개인정보가 올라간 데이터베이스에 접근한 흔적은 확인되지 않았다.

뉴스저널리즘 장하민 기자

https://www.ngetnews.com/news/articleView.html?idxno=507392