대형 전자상거래 업체에서 판매한 온라인 문화상품권이 소비자가 이용 등록하기 전에 도용된 사건이 발생했다. 여러 사이트에서 동일하게 사용하는 ID와 비밀번호가 원인으로 추정된다. 업체 측에서 구매 고객 전원 환불조치로 사태를 봉합했지만 근본적인 재발 방지책 마련과 소비자 주의가 요구된다.
이달 중순 뽐뿌 등 온라인 커뮤니티에는 모 대형 전자상거래 업체에서 판매한 온라인 문화상품권 해킹 피해 관련 글이 다수 게시됐다. 구매한 온라인 문화상품권을 이용하려고 보니 PIN번호가 해당 상품권 사이트에서 이미 `사용완료` 상태로 확인된다는 것이다.
온라인문화상품권은 상품권 사이트에 PIN번호를 등록하면 인터넷 쇼핑몰과 게임, 온라인 콘텐츠 등 이용 시 현금처럼 사용 가능하다. 사용처가 다양한데다 각종 소셜커머스와 인터넷 쇼핑몰 등에서 할인된 가격에 구입할 수 있어 활용도가 높다.
피해가 발생한 전자상거래업체 역시 10만원권 온라인문화상품권을 8% 할인해 판매하는 이벤트를 진행했다. 구입 후 발급되는 18자리 PIN 번호를 상품권 홈페이지에 접속 후 등록해 사용하는 형태로 1인당 최대 10매까지 구매 가능했다. 사건 정황이 포착돼 판매가 중단되기까지 2만8000여개가 팔렸다.
업체 측은 피해 사례 접수와 고객 항의가 이어지자 타 사이트에서 유출 된 개인정보로 구매내역 접근이 의심되는 정황을 확인했다고 공지했다. 타 사이트와 동일한 계정을 사용하는 고객은 비밀번호를 수정할 것을 권고했다. 자체 서버나 로그인 시스템 등이 해킹되지는 않았다는 입장이다. 다만 마이페이지 구매내역에서 온라인문화상품권 PIN번호를 확인할 수 있어 한번 접근이 이뤄진 이후에는 도용에 무방비로 노출된 것으로 파악했다. 업체는 추가 피해 확산 방지를 위해 구매내역에서 PIN번호가 보이지 않도록 조치했다.
상품권 사이트에서 조회하기 전에는 사용 여부를 알 수 없는 점도 피해를 키운 요소로 꼽힌다. 이 업체는 지난해 말에도 계정 도용으로 온라인 문화상품권이 무단 결제돼 피해를 보상했다. 당시에도 구매내역에 PIN번호를 노출하는 시스템이 문제점 중 하나로 지목됐다.
업체 관계자는 “그동안 사용자 이용 편의 등을 고려해 마이페이지에서 PIN번호 확인을 제공했지만 이번 사건 이후 보안 강화를 위해 정해진 핸드폰 문자 메시지로만 전달하도록 조치했다”고 설명했다.
프로그램 등을 이용한 자동 계정 접근을 차단하기 위해 로그인창에 `캡챠(Capcha) 코드`도 적용할 예정이다. 캡챠코드는 변형된 이미지 형태로 제시한 문자나 숫자를 사람이 직접 입력하도록 해 자동회원가입 등을 방지하는데 사용하는 기술이다.
이용자 역시 여러 사이트에서 동일하게 계정과 비밀번호를 사용하지 않도록 주의해야 한다. 최근 인터파크 고객정보 유출 등 대규모 정보 유출 사고가 빈번히 발생하면서 한 곳에서 유출된 정보가 다른 사이트에서 피해로 이어질 가능성이 높아졌기 때문이다.
구매 고객 전원에게는 환불조치를 진행 중이다. 소비자 피해는 막았지만 회사는 수억원에서 수십억원 규모 손실이 발생했을 것으로 추정된다. 내부적으로 여러 정황 증거 등을 수집해 경찰에 수사를 요청할 예정이다.
박정은기자 jepark@etnews.com