■ 방송 : YTN 라디오 FM 94.5 (15:00~16:00)

■ 진행 : 박귀빈 아나운서

■ 방송일 : 2023년 7월 14일 (금요일)

■ 대담 : 김덕진 IT커뮤니케이션연구소 소장

* 아래 텍스트는 실제 방송 내용과 차이가 있을 수 있으니 보다 정확한 내용은 방송으로 확인하시기 바랍니다.

[생생경제] 스타벅스 앱 해킹사고 돈까지 빼내가...대책은?

-크리덴셜 스터핑 방식, 수집된 아이디 패스워드로 무작위 입력

-텀블러 등 중고 시장 거래로 현금화...등록된 신용카드로 자동결제도

-계속 틀려도 인증 단계로 안 가서 보안 취약

-핀테크 앱, 금융 앱 정도의 가이드라인 필요

◇ 박귀빈 아나운서(이하 박귀빈)> 스타벅스코리아 앱에 해킹 사고가 발생해 고객 90여 명의 충전금 약 800만원이 도용된 사건이 발생했습니다. 자세한 얘기 나눠보겠습니다. 김덕진 IT커뮤니케이션연구소 소장 연결됐습니다. 안녕하세요?

◆ 김덕진 IT커뮤니케이션연구소 소장(이하 김덕진)> 네, 안녕하세요.

◇ 박귀빈> 스타벅스 앱을 이용하는 고객의 정보가 해킹돼서 부정 결제가 일어났다는 건데요. 어떻게 부정 결제가 이뤄졌다는 건가요?

◆ 김덕진> 네, 이 방식은 일단은 용어적으로 설명드리면 크리덴셜 스터핑이라는 방식인데요. 쉽게 설명을 드리면 우리가 요즘에 ‘아이디, 패스워드 털렸다.’ 이런 뉴스들 종종 보셨잖아요. 특정 회사나 아니면 보안이 좋지 않은 곳들의 아이디나 패스워드를 해커들이 수집을 해서 이런 것들을 팔기도 하는데 그런 것들, 예를 들면 A 회사에서 털린 아이디와 패스워드가 있지 않겠습니까? 근데 일반인들이 보통 비슷한 아이디를 쓴단 말이에요. 그리고 아이디와 패스워드도 보통 비슷하게 쓰는 경우들이 있습니다. 그러다 보니까 이 크리덴셜 스터핑이라는 방식은 쉽게 말해서 A라는 사이트에서 해킹된 어떤 아이디와 패스워드를 이용해서 다른 사이트에다가 무작위적으로 넣어보는 거죠. 그러다 보면 어떠한 아이디어와 패스워드가 딱 인위적으로 맞을 수가 있잖아요. 그렇게 됐을 때 그 안에 있는 정보를 들여다보는 방식이다. 이렇게 설명드릴 수 있을 것 같습니다.

◇ 박귀빈> 스타벅스 앱을 이용하는 고객의 피해 금액으로 한 800만 원 정도 확인이 됐다는 건데, 다른 외부 다른 사이트나 이런 데서 해킹 통해서 정보들을 취합한 다음에 막 넣어보는군요?

◆ 김덕진> 네, 맞습니다. 이제 무작위로 넣어보는 거죠. 그래서 비밀번호도 한 번에 같은 걸 넣을 수도 있지만 예를 들면 매크로나 시스템을 돌리게 되면 같은 비밀번호가 아닌 다른 형태의 랜덤한 비밀번호도 계속 넣을 수 있잖아요. 그러다가 어떠한 계정이 우연이든 뭔가 딱 열렸을 때 그 안에 들어갔더니 충전금이 몇십만 원이 있는 거죠. 그거를 활용할 수 있게 되는 방식이었다라고 설명드릴 수 있다.

◇ 박귀빈> 그럼 부정 결제라는 게 우리가 앱에 돈을 충전해놓고 내가 음료 사마시고 싶으면 바코드 대고 하나씩 결제하면서 사먹잖아요. 그럼 이번에 부정 결제는 그런 식으로 됐다는 거예요? 어떤 것들이 결제가 됐다는 거예요?

◆ 김덕진> 네, 일단은 말씀해 주신 것처럼 우리가 보통 결제를 위해서 특히나 스타벅스 같은 경우면 QR 코드를 넣지 않습니까? 근데 요즘에 보시면 QR 코드를 넣을 때 내가 있는 금액만 쓰시는 분들도 있지만 자동충전이라고 그래서 내가 원래 카드에 5만 원 있다가 다 쓰게 되면 자동으로 10만 원 충전되고 이런 것까지 연결한 분들이 있어요. 그런 분들이 실제로 충전에 대해서 피해를 받으신 건데요. 그것도 흥미로운 게 900만 원을 바로 커피로만 사 먹은 게 아니라 이거를 활용해서 텀블러나 아니면 다양한 상품들까지 구매한 것이죠. 그렇게 됐을 경우에는 어떤 이슈가 발생될 수 있냐면, 예를 들면 우리가 커피 같은 경우는 그냥 사람이 먹고 지나갈 수 있잖아요. 그런데 이제 텀블러 같은 경우에는 구매를 하게 되면 실제로 그 텀블러를 다시 팔 수도 있습니다. 그래서 중고 사이트 같은 데 현금화 할 수도 있고요. 그다음에 또 스타벅스에서 텀블러 써보신 분들 알겠지만 텀블러를 하나 사면 무료 음료 쿠폰을 또 주거든요. 그 쿠폰이 단순히 커피만 아니라 여러 가지를 사먹을 수 있다 보니까 그 쿠폰 하나도 보통 중고 사이트들 같은 데 가면 5,500원에서 6천 원에 거래가 됩니다. 그렇게 치니까 금액이 쌓여 있는 데서 단순히 커피 먹고 끝나는 게 아니라 텀블러를 몇십 개를 사게 되면 그거를 또 되팔 수도 있고, 또 텀블러를 사면서 생긴 무료 음료 쿠폰을 또 현금화를 할 수 있다 보니까. 이번에 있었던 800만 원 수준의 도용이 결국 그들이 또다시 현금화를 했다라고 해석해볼 수 있는 것이죠.

◇ 박귀빈> 그러면 원래 되어 있던 충전금도 탈취해 가고, 그리고 나는 전혀 모르는 상태에서 신용카드로 자동 충전까지 한 다음에 결제 반복하고 이런 것까지 일어났다는 거네요?

◆ 김덕진> 네, 그렇죠. 왜냐하면 그 시스템 안에서 예를 들면 돈이 다 떨어지면 자동으로 얼마큼 충전해서 쓸 수 있는 이런 것들이 있다 보니까 예를 들어서 사용자가 그냥 아무 의식 없거나 아무 생각 없이 그냥 쓰는 거구나라고 생각했는데, 나중에 봤더니 이렇게 돈이 많이 결제됐어라고 할 수도 있는 것이죠. 하지만 이미 물건이 다 나갔기 때문에 그 부분에 있어서는 예를 들면 매장에서는 이미 결제가 끝났습니다라고 얘기할 수 있는 이슈였다라고 볼 수 있습니다.

◇ 박귀빈> 사실 전문 해커가 맘먹고 해킹을 한다고 하면 해킹 당할 수 있죠. 그래서 보안 시스템이 매우 중요한 건데, 스타벅스 앱이 특별히 보안에 취약한 면이 있다거나 그런 측면도 있었나요?

◆ 김덕진> 이 부분이 제일 이번에 이슈가 되는 건데요. 제가 아까 말씀드린 대로 이 방식 자체가 무작위로 여러 번 넣어보는 거잖아요. 예를 들면 아이디와 패스워드가 틀리게 되면 그런 것들에 대해서 ‘틀렸습니다. 다시 넣어보십시오.’ 그럼 다시 넣을 수 있는 구조지 않습니까? 요즘에 대부분 서비스를 써보시다 보면 패스워드가 틀리더라도 5번까지 틀리게 되면 번호 인증을 한다거나 아니면 3번 이상 틀리게 되면 캡처라고 해서 스펠링을 넣어야지만 된다거나 이런 장치들이 있잖아요. 그런데 지금 스타벅스 앱 같은 경우는 그런 게 없다라는 게 가장 큰 이슈라고 볼 수 있을 것 같습니다.

◇ 박귀빈> 틀리면 계속 시도해볼 수 있는 거네요.

◆ 김덕진> 그렇죠. 그래서 실제로 제가 오늘 업데이트가 됐는지 확인을 해보려고 생방 들어오기 전에 1시쯤에 일부러 제가 로그아웃을 한 다음에 임의의 아이디와 패스워드를 계속 넣어봤거든요. 10번, 20번을 해도 계속 ‘비밀번호가 틀렸습니다. 다시 입력하세요.’ 이게 뜨는 거예요. 보통은 요즘에는 이런 것들, 컴퓨터의 매크로 같은 걸 방지하기 위해서 5번 틀리게 되면 무조건 전화 인증을 받아야 된다거나 이런 형태들이 있게 되는데 스타벅스 앱에는 그런 것들이 없는 것이죠. 그러다 보니까 당연히 랜덤하게 계속적으로 뭔가를 넣게 되면 열릴 수 있는 위험성이 있는 것이고요. 물론 아마 스타벅스가 왜 그렇게 만들었을까 생각을 하면 보통 카페에서 이걸 결제하려고 우리가 앱을 켰을 때 갑자기 아이디, 패스워드를 입력하라고 하면 사람들이 당황하니까 여러 번 비밀번호를 고쳐 쓸 수 있게 하려고 일부러 이런 시스템을 안 넣은 것이 아닌가라고 추정해 볼 수 있어요.

◇ 박귀빈> 이용할 때 편의성 때문에요.

◆ 김덕진> 그렇죠. 그 부분을 추정해 볼 수 있지만 하여튼 그럼에도 불구하고 중요한 것은 보안적으로는 엄청나게 취약했었다라고 우리가 이야기를 할 수 있는 것이죠.

◇ 박귀빈> 그럴 수 있겠군요. 그러면 지금 스타벅스 측의 입장은 어떤 건가요? 이번에 이런 피해가 발생한 거 확인하고 나서 조치들이 지금 들어갔어요?

◆ 김덕진> 지금 그래서 실제로 처음으로 피해 고객의 신고가 지난 8일에 있었거든요. 그래서 일단은 공지를 10일에 했습니다. 그러니까 일단은 공지도 이틀 늦은 상황이고요. 그래서 이들이 얘기한 게 일단은 7월 10일에 불법 취득한 아이디, 패스워드를 무작위로 조합해서 부정적으로 사용하려는 시도를 발견했다. 그래서 이런 것들에 대해서 도용한 것들이 있어서 해외 IP를 차단했고 그리고 이제 비밀번호 재설정을 했고 전액 보상했다라고 얘기를 했습니다. 그렇게 얘기하면서 사용자들에게 오히려 아이디와 비밀번호를 여러 사이트에 동일하게 사용하시는 고객들은 주기적으로 비밀번호를 변경해 달라고 얘기를 했고요. 그리고 재발 방지를 위한 인증 방안을 추가로 마련하겠다고 이야기는 했지만 앞서서 말씀드린 것처럼 한 4일 정도가 지났음에도 불구하고 여전히 로그인할 때 반복적으로 로그인되는 형태들이 지금 발견되고 있다. 이렇게 말씀드릴 수 있습니다.

◇ 박귀빈> 일단은 관계 기관에 신고했다는 기사도 봤긴 한데 그거에다가 공격자 IP 차단했다고 그랬잖아요. 그리고 지금 90여 명 정도 피해가 확인됐다고 했는데, 스타벅스에서 이런 조치를 했음에도 지금도 여전히 피해가 잇따르고 있는 상황인가요? 아니면 그 이후에는 피해는 더 이상 확인되지 않는 상황인가요?

◆ 김덕진> 지금 이 외에 추가적으로 뭔가 피해가 있었다라는 게 온라인상에서 올라오는 것들은 잘 보이지 않고 있는데요. 하지만 말씀드린 것처럼 방법론적으로 충분히 랜드에 뭔가를 넣어서 하는 것들은 가능한 상황이다고 말씀을 드릴 수 있을 것 같아요. 그리고 이런 반복적인 IP를 차단할 수 있는 것들이 아직 웹상에서 드러나지 않고 있기 때문에 어쨌든 사용자 입장에서는 불안할 수 있는 구조가 여전히 존재할 수 있다는 건 사실이죠.

◇ 박귀빈> 제가 궁금했던 건 뭐냐하면 지금 한 90여 명 정도 피해를 봤다는데 앞으로도 피해 규모가 더 커질 수도 있나, 이게 좀 궁금해서요.

◆ 김덕진> 지금 상황에서 추가적인 대안, 말씀드렸던 것처럼 예를 들면 아이디와 패스워드를 계속적으로 연속적으로 넣는 것을 막는다거나 아니면 결제를 할 때 추가 인증이 된다거나 이런 게 없는 구조라면 똑같은 방식으로 충분히 가능한 것이죠. 예를 들면 아이디와 패스워드를 인위적으로 계속 돌리는 매크로가 돌아서 그 안에서 우연히 또 다른 아이디를 발견하고 거기에서 구매를 한다라고 하면 이런 것들에 대해서 지금 어떤 체크할 수 있는 모니터링 시스템이 얼마나 돼 있는지에 대해서는 여전히 의문을 품을 수밖에 없습니다. 왜냐하면 이번에도 실제로 일이 일어나고 3일 정도 있다가 스타벅스에서 실제로 조사를 해봤더니 이런 것이다라는 것이지 반대로 우리가 모니터링을 실시간으로 하고 있었는데 이게 측정이 됐다라는 이야기는 없었거든요. 이런 부분에서 여전히 보안에서의 허술한 면들이 빨리 좀 고쳐져야 된다라는 부분을 이야기할 수 있는 것이죠.

◇ 박귀빈> 아직까지는 지금 취약한 상태 그대로라고 볼 수 있을 것 같은데요. 그러니까 소비자 개개인별로 여러 번 아이디랑 비번을 바꾸고 이런 건 할 수 있겠지만, 그건 너무나 소극적인 소비자 입장에서 할 수 있는 것밖에 안 되는 거고. 업체 측에서도 빨리 재발 방지를 할 수 있도록 보안을 강력하는 걸 시급하게 준비를 해야 할 것 같은데요. 왜냐하면 지금 스타벅스 같은 경우가 이 선불 충전금 규모가 해마다 늘고 있대요. 그리고 그 금액이 천문학적이라고 하더라고요. 그럼 만약에 나중에라도 혹시 이런 범죄에 노출된다면 아직까지는 취약해 보이니까요. 그 피해는 엄청나게 늘어날 수 있는 거 아닌가요?

◆ 김덕진> 그렇죠. 우리가 보통 스타벅스 같은 아니면 요즘에 나오는 충전 하는 앱들을 어떤 관점으로 보는지가 상당히 중요한 것 같아요. 이걸 단순히 카페 앱이라고 보기에 혹은 음료를 마시는 데 도움을 주는 앱이라고 하기에는 이미 시장 규모가 너무 커졌습니다. 예를 들면 지난해 기준으로만 보더라도 우리가 충전해놓고 쓰지 않은 잔액이 있잖아요. 잔액이 한 우리나라에서 3천억 정도의 규모입니다. 1억 정도면 거의 e-커머스 회사나 아니면 은행 규모 이렇게 볼 수도 있고요. 실제로 이러한 선불 결제를 통해서 일어나는 거래액 자체, 1년 동안 스타벅스 앱에서 우리가 이렇게 충전해서 먹는 이 앱에서 일어나는 거래 금액이 2조 1천억이 넘어갑니다. 2조 이상의 계속적으로 거래가 되고 있는 일종의 금융 앱이나 은행 앱 관점으로 이 앱을 보게 되면 이 정도의 보안은 상당히 취약하고 어떻게 보면 이건 일반적인 은행 앱이라고 했다고 하면 이 정도의 보안 시스템이라면 통과가 안 되거든요. 그럼에도 불구하고 이것을 우리가 지금까지는 그냥 커피를 편하게 먹을 수 있는 수준이다라고 생각을 하니까 문제가 분명히 됐었고요. 이 부분에서도 스타벅스에서 분명히 보완적인 충분한 조치가 필요하다라고 이야기할 수 있는 게 스타벅스가 그러면 아까 말씀드린 잔액이 3천억 있지 않습니까? 3천억을 그냥 둔 게 아니라 또 이 3천억을 은행에 넣어서 정기예금을 통해서 이자를 본인들이 취득하고 있거든요.

◇ 박귀빈> 스타벅스가요?

◆ 김덕진> 네, 그 얘기인 즉은 소비자들이 가지고 있었던 금액의 잔액을 활용해서 어쨌든 본인들이 추가적인 이득을 얻고 있는 상황이라는 것이죠. 그렇다면 이것은 거의 핀테크 앱이나 우리가 말하는 금융 앱 정도의 가이드라인이 분명히 필요하다라고 이야기할 수 있는 것이고요. 그렇기 때문에 이렇게 단순히 커피 앱에서 사람들이 편하게 하기 위해서의 보안이 조금 약화돼 있는 부분들을 충분히 강화시켜야 할 필요가 분명히 존재한다. 그리고 이런 것들이 자칫 잘못하면 앵커께서 말씀 주신 것처럼 향후에 이 금액이 더 커지게 되면 한 사람당 충전하는 금액, 특히나 기업들 같은 경우에는 상당히 많은 금액을 충전해 놓기도 하거든요. 그 부분에서 큰 문제가 생길 수 있다라는 것도 우리가 생각을 해봐야 한다고 볼 수 있을 것 같습니다.

◇ 박귀빈> 스타벅스 브랜드가 우리 게 아니라 전 세계적으로 많은 사람들이 애용하는 카페고, 이 앱도 아마 전 세계적으로 이용을 하지 않을까요?

◆ 김덕진> 네.

◇ 박귀빈> 그러면 이런 보안 시스템이 있잖아요. 지금 이거는 이번에 스타벅스 코리아만의 문제라고 볼 수 있습니까?

◆ 김덕진> 실은 이 스타벅스 해킹이 2015년에도 글로벌적으로 한번 일어난 적이 있습니다. 실제로 모바일 앱 자체가 대규모 해킹이 있었는데요. 그때 비슷했습니다. 해커들이 스타벅스 고객들의 모바일 앱 계정에 침투해서 신용카드, 은행 계좌 정보 탈취했었고요. 그것을 활용해서 소액의 자동충전을 계속 반복을 했었어요. 그렇게 하면서 수천 달러에 있는 돈을 도난했었던 방식이 있었고요.

◇ 박귀빈> 글로벌적이라고 여러 나라에서 그랬다는 거예요?

◆ 김덕진> 네, 스타벅스의 본사의 앱에서 해킹이 일어났다라고 보시면 될 것 같습니다. 그래서 그때 이미 스타벅스가 사건에 대응해서 앱의 보안을 강화하는 업데이트를 실시를 했었거든요. 그런데 이 부분에 있어서 또 국내에서 이번에 스타벅스 앱 해킹이 8년 만에 발생한, 어떻게 보면 글로벌 해킹하고 유사한 사건이다 보니까. 유사한 보안 문제가 재발한 것이 더 큰 문제 아니냐. 결국 그때 강화 조치했다고 했는데 이게 지금 왜 코리아에 제대로 적용이 안 됐느냐라고 하는 비판을 같이 받고 있다라고도 볼 수 있을 것 같습니다.

◇ 박귀빈> 그렇겠네요. 재발 방지를 위한 강화된 인증 방안이 시급하게 추가로 마련해야 될 것 같고요. 사실 이런 문제가 스타벅스 앱뿐만 아니라 요즘에 많은 업체들에서 앱 선불 충전 결제 방식을 활용하고 있거든요. 편의점도 그렇고 배달앱 같은 경우도 그렇게 되어 있어서 이런 유사한 피해는 앞으로도 얼마든지 발생할 수 있기 때문에 소비자와 업체 모두 주의를 해야 될 것 같아요. 어떤 대안이 있겠습니까?

◆ 김덕진> 소비자와 업체 모두 가장 중요하고 해야 되는 것을 하나만 꼽자면 바로 2차 인증이라고 이야기할 수 있을 것 같습니다. 보통 이제 결국 지금 이 방식들이 수많은 아이디와 패스워드를 계속적으로 반복적으로 입력하면서 뚫어내는 거거든요. 그렇다면 만약에 아이디와 패스워드가 맞더라도 로그인을 할 때 본인이 직접 확인해야 되는 2차 인증이 들어가게 되면 아무래도 자동으로 뚫더라도 결제까지 가지 못한다는 것이죠. 그래서 보통 요즘에 보면 문자로 인증을 한다든지 아니면 앱으로 한 번 더 인증을 받는다든지, 지문 인식을 받는지 이런 식의 2차 인증 방식이 다양하게 있거든요. 그렇기 때문에 이 기회에 소비자와 제조사 역시도 이런 2차 인증을 활성화시켜야 되고, 소비자들도 다양한 소셜미디어 쓰시는데 조금은 귀찮더라도 로그인할 때 핸드폰 인증 받거나 로그인할 때 앱 인증 받는 2차 인증을 활성화시켜 놓으시는 게 가장 좋지 않을까라고 설명드릴 수 있을 것 같습니다.

◇ 박귀빈> 2차 인증을 활성화해야 되고 업체들에서도 이런 시스템을 빨리 마련을 해야 한다는 말씀이신 거고, 끝으로 평소에 제가 늘 궁금했던 건데 하나만 여쭤볼게요. 저도 앱으로 결제 시스템 같은 거 많이 이용을 하다 보니까, 앱 별로 많지 않겠습니까? 그러면 거의 다 로그인을 유지해 놓는 상태로 있는 경우가 많아요. 사용할 때마다 로그인을 하는 게 아니라 로그인 유지 상태로 쓰는 거는 크게 문제 없나요?

◆ 김덕진> 이 부분에 있어서는 아무래도 습관적으로 생각하시면 스마트폰 같은 경우에는 우리가 다양한 보안이나 암호 장치들이 있잖아요. 그러니까 이 부분에 있어서는 자기가 만약에 스마트폰을 누군가가 훔쳐가지 않는다면 그래도 조금 편의성에 의해서 자동으로 놔줄 수는 있지만 예를 들면 노트북, 특히나 불특정 다수가 사용하는 노트북 있지 않습니까? 그런 곳에서 자동 인증을 했거나 혹은 내가 로그인을 했다라고 하면 꼭 자동이든 아니든 간에 로그아웃을 하시는 걸 거의 습관화하시는 게 상당히 중요하다라는 말씀을 드리고 싶어요.

◇ 박귀빈> 공용으로 쓰는 데에서 활용을 한다면요.

◆ 김덕진> 네, 공용으로 쓰는 데들이든 이런 부분에서 반드시 로그아웃하시는 걸 습관화하시는 게 중요하고요. 특히나 노트북 같은 경우에는 기본적인 비밀번호를 안 걸어놓으시는 분들이 있기 때문에 기본적인 노트북이 혹시나 카페 같은 데서 설치되게 되면 그 안에 있는 여러 가지 비밀번호가 풀릴 수가 있거든요. 그런 부분에 있어서 기본적으로 노트북에 대한 기본 암호는 그래도 걸어놓으시는 게 안전하지 않을까. 이런 얘기도 같이 드릴 수 있습니다.

◇ 박귀빈> 스마트폰은 항상 내가 들고 다니니까 노출될 위험이 별로 없기 때문에 로그인을 유지해도 큰 문제는 없겠으나 문제는 스마트폰을 잃어버리거나 도난당했을 때 문제가 될 수 있단 말이네요

◆ 김덕진> 네, 그렇죠. 그렇기 때문에 스마트폰에도 기본적인 암호 장치나 아니면 인증이나 이런 것들은 반드시 좀 해놓으시는 게 기본이라고 볼 수 있습니다.

◇ 박귀빈> 알겠습니다. 핸드폰을 꼭 잠가놓고 써야 되겠네요.

◆ 김덕진> 그리고 위치 추적 기능 같은 경우도 오늘 해놓으시는 게 상당히 좋을 거라고 봅니다.

◇ 박귀빈> 알겠습니다. 김덕진 IT커뮤니케이션연구소 소장과 이야기 나눴는데요. 소장님, 오늘 말씀 감사합니다.