온라인 쇼핑몰 지마켓에서 구매한 미사용 상품권이 ‘사용 완료’로 표시되는 사례가 발생하는 등 고객 계정이 도용된 것으로 확인된 가운데, 한국소비자단체협의회가 지마켓에 신고전담조직을 만들라고 촉구했다.
한국소비자단체협의회는 소비자교육중앙회, 한국여성소비자연합, 한국YWCA연합회, 한국소비자연맹, 소비자시민모임, 한국소비자교육원 한국YMCA전국연맹, 녹색소비자연대, 소비자공익네트워크, 한국부인회총본부, 대한어머니회중앙회, 미래소비자행동을 회원으로 두고 있다.
사고 원인은 ID와 패스워드 무차별 대입
이번 사건은 해커가 이미 유출됐거나 사전에 탈취한 지마켓 회원들의 아이디와 비밀번호를 무차별적으로 대입(일명: 크리덴셜 스터핑)하여 해당 계정 로그인을 시도해 발생한 것으로 추정된다.
그 결과, 지마켓을 통해 구매한 상품권이 무단 사용된 사례가 발견됐다. 온라인 커뮤니티에는 피해 글이 1월 19일부터 쇄도하는 상황이다. 피해액은 개인별로 소액부터 수백만 원까지 천차만별이다.
소비자상담센터 접수 피해는 53건
소비자단체협의회에 따르면, 오늘(25일) 오전 현재 1372소비자상담센터, 11개 소비자단체, 공정거래위원회, 한국소비자원 등에 접수된 지마켓 개인정보 유출 피해사례는 총 53건이다. 설연휴 기간 중 38건, 오늘 오전에만 15건이 접수됐다.
소비자단체협의회는 “계정과 비밀번호가 유출됐더라도 상품권 핀번호 열람페이지는 별도 보안체계를 갖춰야 함에도 지마켓은 그렇지 않았다”면서 “모바일상품권을 판매하는 전자금융업자로서 소비자보호 의무를 이행하지 않아 발생한 문제”라고 지적했다.
다른 국내 사이트들은 계정이 도용당하더라도 상품권 핀번호를 볼 수 없도록 암호화해 계정에 등록한 전화번호 문자메시지를 통해서만 핀번호를 확인할 수 있도록 하거나, 로그인 방식에 의심상황이 발생하면 휴대폰 인증 등 2차 인증 프로세스를 적용하도록 하는 등 보안체계를 강화했다고 부연했다.
스마일페이 유출가능성도
협의회는 “단순한 모바일 상품권에 대한 핀번호 도난 문제를 넘어 지마켓의 간편결제서비스인‘스마일페이’까지도 유출될 가능성이 있다. 2차 피해가 발생할 우려도 있는 상황”이라면서 “하지만 지마켓의 고객 대응은 안일하다”라고 비판했다.
지마켓은 지난 20일 “개인정보 도용 피해 고객분들께 사과드립니다”라는 내용의 공지사항을 지마켓 사이트 제일 하단에 단 한 줄로 고지했을뿐 피해를 당한 소비자에게 개별공지나 소비자 피해를 접수하는 전용창구를 개설했다는 내용은 확인하기 어렵다는 얘기다.
이에 따라 한국소비자단체협의회는 지마켓에 소비자들에게 피해 내역을 개별 통보하고 신고 센터를 개설할 것을 요청했다. 추가 피해가 발생하지 않도록 철저한 보안강화 체계를 구축할 것을 요구했다.
사이버수사대 및 개인정보보호위원회에는 해당 사건에 대한 철저한 수사와 엄정한 규제, 재발 방지 대책 마련을 촉구했고, 소비자에게는 동일한 아이디와 패스워드를 사용하는 사이트가 많을수록 유사한 피해가 발생할 수 있으니 개인정보를 변경할 것을 건의했다.