해킹 피해나 고객정보 털리는 사례는 잊을만 하면 한번씩 터져 나오는 것 같다. 이번에는 G마켓에서 상품권이 사라졌다는 사례들이 접수되면서 또다시 불거졌다. 특이한 점은 서버 해킹이 아닌 크리덴셜 스터핑이란 수법으로 탈취했다는 점이다.
G마켓 사태
1월 중순 경부터 G마켓 이용자들 사이에 상품권을 해킹당했다는 피해 사례가 많이 제보되었다. 상품권이 있었는데 사용하려고 보니까 완료된 것으로 나왔다는 경우, 또 모르는 사이에 G마켓 간편결제 시스템인 스마일 페이로 상품권이 결제되어서 사용되었다는 경우 등이다.
G마켓 측에서는 온라인 상에서 문제가 확산되고 뉴스로도 많이 실리자 공식 입장 및 조사에 착수하였다.
이번 G마켓 사태의 특징점은 해킹을 통해 대량의 개인정보가 유출된 여타 사례들과는 다르다는 점이다. 피해자가 약 100여명 정도로 확인되고 있어서 어떻게 보면 소수이다. (개인 정보 100만 유출 이런 경우와 비교해서 그렇다는 의미)
이는 G마켓 서버 측이 해킹으로 보안이 뚫려서 회원 정보가 탈취된 것이 아닌, 크리덴셜 스터핑 이라는 수법에 의해 특정 고객들의 정보만 털렸기 때문이다. 다소 생소한 용어가 등장했는데, 크리덴셜 스터핑이 무엇일까?
크리덴셜 스터핑 뜻
- 크리덴셜 (Credential) : 로그인에 필요한 개인정보
- 스터핑 (Stuffing) : 채운다는 뜻
크리덴셜 스터핑이란 다른 곳에서 탈취한 로그인 정보를 무작위로 공격 대상 사이트에 대입해서 시도해보는 해킹 방식을 의미한다.
특히 가입한 날짜가 아주 오래된 10년 20년 전의 옛날 사이트들의 경우 보안도 허술하고 털려도 그 여부조차 모르는 경우가 많다. 이런 곳들은 이미 대부분 털려있다고 보면 되고, 여기에 사용했던 개인정보를 중요한 사이트에 그대로 사용한다면 위험할 수 있다.
이게 더욱 문제가 되는 것은 피해가 발생해도 보상도 모호하다는 점이다. 본인의 아이디와 패스워드를 다른 곳에서 그대로 입력하여 정상 접속한 것이기 때문에 마치 이용자의 개인정보 관리 소홀로 여겨질 수 있다.
이번 G마켓 사태도 그렇다. G마켓 측의 보안 시스템이 뚫려서 고객 정보가 유출된 것이 아니라, 일부 고객들의 다른 곳에서 이미 털렸던 아이디와 비번들로 무작위 대입하던 중에 G마켓 로그인에 성공한 것들이 피해가 생긴 것이다.
그래서 G마켓 고객센터에서는 보상이 어렵다고 답변을 했었는데, 언론에도 나오고 이슈가 커지자 적절한 보상 방안을 강구 중이라는 공식 입장을 내놓았다.
보안 시스템 문제
다른 곳에서 털린 정보를 G마켓에 입력해서 로그인 성공한 것이기 때문에 G마켓 측에 직접적인 책임은 없지만 일각에서는 허술한 보안 시스템도 문제라고 한다.
G마켓에서 선물하기 카테고리를 만들고 회원 로그인을 하면 화면 상에 PIN 번호가 보여지도록 되어 있었다. 이런 경우 아이디와 패스워드만 유출되어도 등록된 상품권들이 털릴 수 있는 것이다.
이미 이와 같은 사례가 티몬에서도 있었다. 계정 66개에 저장되어 있던 10만원권 문화상품권 375개 (3750만원 상당) 핀번호가 유출된 사건인데, 이후 티몬에서도 화면에 조회되지 않고 문자로 발송하는 방식으로 변경하기도 했다. 이미 7년 전에 발생한 사건과 같은 방식으로 2023년에 G마켓에서 허술하게 또 당한 것이다.
피해 사례가 명백하게 있었던 부분인데도 이를 인지하지 못하고 운영했다는 것은 보안 결제 시스템이 취약했다는 비판을 벗어나기 힘들어보인다.
대응방안
이러한 크리덴셜 스터핑은 1차적으로 이용자가 계정과 비밀번호를 다각화해서 관리하는 것이 상책이다. 어렸을 때부터 쓰던 아이디와 패스워드로 수십 수백개 사이트를 모두 똑같이 쓰면 요즘 시대에는 그냥 가져가세요 하는 것과도 같다.
구글 패스워드
그렇다고 모든 사이트마다 아이디나 패스워드를 다 다르게 하면 절대 기억할 수가 없다. 가장 좋은 방법은 크롬에서 구글 비밀번호 관리를 이용하는 것이다.
크롬에 들어가 보면 자신이 로그인했던 사이트들을 모두 기록하고 있는데, 이를 통해 유출된 곳이 어디인지도 확인할 수 있다.
크롬 > 설정 > 자동완성 > 비밀번호 관리자로 들어간다.
내 경우 총 427개 사이트의 로그인 이력이 저장되어 있었는데 이 중 유출된 것이 17곳, 비밀번호 취약으로 검토된 곳이 213곳이었다. 유출된 사이트에서 사용했던 비밀번호와 아이디는 향후 쓰지 않는것이 좋다.
가장 좋은 것은 신규 가입시에 구글 패스워드를 사용하는 방법이다. 설정에서 비밀번호 저장과 자동 로그인을 사용 체크해주면 구글 크롬에 저장된 비밀번호로 자동 로그인을 할 수 있다.
이렇게 가입시 구글이 제안하는 복잡한 랜덤 비밀번호로 설정이 가능하다. 이걸 쓰면 나도 기억을 못하는게 문제이지만 모든 사이트가 다르니 해킹당할 일도 없어진다.
다만 문제가 어떤 사이트에서는 구글 자동 패스워드 기능이 잘 안먹히기도 해서, 이럴 경우 비밀번호 찾기를 해야하는 노답 상황이 된다는 것이다. 중요하지 않거나 일회성으로 가입하는 사이트는 이 구글 랜덤비번 생성 기능을 이용하고, 정말 중요한 포털, 이메일, 쇼핑몰, SNS 계정 등은 별도의 비번을 사용해서 잘 관리하는 것이 좋다.
패스워드 리스
크리덴셜 스터핑을 방지하는 또 다른 대응방안으로는 패스워드 리스 기술이 있다. 이는 문자로 된 비밀번호를 입력하는 것이 아니라 로그인 시마다 인증을 통해 접속하는 것이다. 살짝 더 귀찮을지 몰라도 훨씬 안전하다는 장점이 있다.
최근에는 카카오페이 인증 등을 통해 로그인하는 곳들도 늘어나고 있다. 아이디로 이메일을 사용하고 이메일 또는 등록한 휴대전화 번호 또는 카카오 인증 등을 통해서 접속하면 보안 관점에서 보다 강력해진다. 앞으로 이러한 본인확인 방식의 로그인이 활성화되어 해킹의 피해가 사라졌으면 하는 바램이다.
