지마켓을 이용하는 일부 소비자중에서 개인정보 도용 피해를 입은 사례가 속출하고 있다.

지난주 온라인 커뮤니티 뽐뿌 등에서 '사용하지 않은 지마켓 상품권이 사라졌다'는 내용의 게시글이 올라왔다. 

이후 피해를 입었다는 사례가 이어졌다. 피해 소비자들은 지마켓에서 구매한 미사용 상품권이 '사용완료'로 뜨거나, 지마켓의 간편결제 서비스인 스마일페이를 통한 결제가 시도됐다고 제보했다.

지마켓에 따르면 소비자가 지마켓에 로그인하면 보유 중인 상품권의 핀번호 전체를 바로 확인할 수 있었다. 때문에 아이디와 비밀번호가 유출된 경우 쉽게 상품권 도용 피해로 이어졌다.

지마켓은 이번 피해는 해킹이 아니라고 해명했다.

그러면서 시스템이 해킹당한 것이 아니라, 신원 미상의 공격자가 ‘크리덴셜 스터핑(Credential Stuffing)’ 수법을 사용한 것으로 확인됐다고 밝혔다.

이 수법은 기존 다른 경로로 확보한 아이디와 비밀번호를 지마켓에 그대로 입력해 로그인한 뒤 상품권을 탈취하는 방법으로 여러 사이트에 아이디와 비밀번호를 동일하게 사용한 고객들에게 피해가 발생했다는 것. 과거 티몬에서도 비슷한 사건이 발생해 시스템을 전면 개편했던 사례가 있다.

지마켓 관계자는 "소비자 편의를 고려해 바로 핀번호가 보이도록 한 것인데, 이 같은 피해에 대해 면밀하게 주의하지 못했다"고 잘못을 인정했다. 그러면서 시스템 기술도 개선중에 있다고 전했다.

이어 "스마일페이, 카드결제 등은 결제 시 다른 비밀번호를 한 번 더 입력해야 된다"며 "다른 고객들의 피해가 추가로 발생할 가능성은 거의 없다"고 말했다.

현재 지마켓은 해당 피해를 입은 소비자가 이를 접수하면 전액 보상하고 있다.

지마켓 관계자는 "피해를 입은 소비자의 아이디와 비밀번호도 개인정보로, 회사 측에서 직접 피해자를 확인하기 어렵다"면서 "지난 25일 1차 보상이 완료됐고, 소비자가 피해 사실을 확인하고 접수하면 전액 보상하겠다"고 말했다.

업계 관계자는 "다수 서비스에 동일한 아이디와 비밀번호를 사용하면 추후에 또 다른 피해를 입을 수 있다"며 "사이트마다 계정 정보를 서로 다르 게 설정하라"고 조언했다.

[컨슈머치 = 전정미 기자]

관련기사
저작권자 © 컨슈머치 무단전재 및 재배포 금지