하룻밤새 사라진 위메프 포인트, 왜 이런 일이…

외부 유출 개인정보로 부정 로그인… 1100만원 현금화 피해

  • 프린트
  • 페이스북
  • 트위터
  • 카카오스토리


소셜커머스 위메프가 지난 주말 동안 인터넷 피싱 집단으로 의심되는 해커들로부터 공격을 당한 사실이 뒤늦게 드러났다.

지난 6∼7일 이틀간 모 인터넷 사이트 게시판에는 '해킹범이 제 아이디를 도용해서 포인트 2만점으로 틴캐시(모바일 상품권)을 구매해 갔어요', '위메프 포인트 40만점이 털렸어요', '위메프 해킹 대란 일어난 건가요', '내 아이디랑 비번 어떻게 알았지' 등 글이 이어졌다.

글을 올린 이들은 위메프 회원들로, 아이디와 비번이 해킹돼 포인트를 도난당했다. 도난된 포인트는 모두 모바일 상품권을 구매에 쓰여 현금화된 것으로 추정된다. 8일 오전 11시 현재까지 확인된 피해 고객은 337명으로 피해금액은 1100만원에 이른다.

위메프는 피해 사실이 확인된 고객들에게는 포인트 전액을 환불처리했으며 8일 오전 경찰에 수사를 의뢰했다. 위메프측은 이번 사고가 해킹이 아닌 은행권 등에서 흘러나온 개인정보로 위메프에 부정 로그인 해 포인트를 훔쳐간 것이라고 밝혔다.

즉 위메프 서버에 저장된 개인정보가 뚫린 것이 아니라 범죄집단이 외부에서 매매되고 있는 개인정보(아이디와 비밀번호)를 활용해 위메프에 로그인한 2차 피해로, 위메프도 '피해자'라는 것.

하지만 보안 전문가들은 "서버가 뚫린 것뿐만 아니라 외부에서 유출된 아이디와 비번으로 부정 로그인해서 정상적으로 사용이 가능한 것도 명백한 해킹에 해당한다"고 밝혔다.

무엇보다 포인트 도난은 운영자(위메프)의 고객관리 허점을 드러낸 것이어서 주목된다.

오픈마켓 3사의 경우 같은 IP주소로 여러 아이디를 사용, 구매할 경우 '의심 사용자'로 지정해 본인 유선상 확인과정을 거친 후 로그인 제한 조치를 취하고 있다. 이번 위메프 포인트 도난 사건에는 고작 3개 IP주소만 사용됐음에도 위메프는 사건 발생 후에야 이러한 사실을 인지한 것으로 알려졌다.

위메프에서는 포인트 현금화가 쉽다는 것도 문제의 핵심이라고 업계는 보고 있다. 일반 상품이 아닌 모바일 상품권처럼 현금화할 수 있는 상품을 포인트로 거래할 경우 휴대전화나 아이핀 등 인증 과정을 거쳐야 함에도 불구하고 위메프는 이러한 과정이 일정 금액 이하는 생략된 채 운영되고 있었다.

위메프 관계자는 향후 모바일 상품권에 대한 포인트 구매를 허용하지 않을 방침이며, 일반 상품도 포인트로 구매 시 인증 과정을 도입할 계획이라고 말했다. 또 부정 로그인을 막기 위해 포털과 은행권처럼 주기적으로 비밀번호 변경을 요청, 안전한 쇼핑을 유도하겠다고 밝혔다.

박미영기자 mypark@dt.co.kr




[저작권자 ⓒ디지털타임스 무단 전재-재배포 금지]


가장 많이 본 기사