스타벅스 앱 해킹 사건 보안 대책 예방 방법은?
스타벅스코리아 앱에 해킹 사고가 발생해 고객 90여명의 충전금 약 800만원이 도용된 사건이 발생했습니다.
해킹 사건의 전말과 대책 방법에 대해 알아보겠습니다.
스타벅스 앱 해킹 사건
지난 7월 10일 스타벅스 앱은 '크리덴셜 스터핑'이라는 방식으로 해킹 당했습니다.
크리덴셜 스터핑(Credential Stuffing)이란?
해커들이 특정 회사나 보안이 좋지 않은 곳에서 아이디나 비밀번호를 수집해서 다크웹에 파는데,
보통 사람들은 비슷한 아이디와 비밀번호를 쓰기 때문에 이를 이용해 또 다른 해커가 다크 웹에서 구매한 정보로 봇을 이용해 다른 사이트에 무작위로 대입하는 해킹 방식을 의미합니다.
해외 IP를 통해서 스타벅스 앱에 부정 로그인 시도를 했고, 로그인에 성공한 계정의 충전금 결제를 도용한 사건이었습니다.
스타벅스 앱 해킹 사례의 경우에는 계정이 해킹 당했을때 (1) 앱 내 충전금이 몇십만원이 있었던 경우와 (2) 앱 내 자동 충전 기능을 악용한 경우가 있습니다.
자동 충전의 경우 기준 하한 자동 충전과, 월 정액 자동 충전 2가지 방식이 있는데, 기준 하한 자동 충전을 악용해서 기준 잔액 미만일시 자동 충전 금액을 몇 백만원으로 한 사례입니다. 해커들은 자동 충전한 금액을 커피 등 음료만 사먹는데 사용한 것이 아닌, 텀블러 등 다양한 상품을 구매하는데 사용했습니다. 이렇게 구매한 상품들은 중고 사이트에서 현금화 되었을 것이라 추측됩니다. 또한 텀블러를 구매하면 무료 음료 쿠폰을 주는데 이것 또한 중고 사이트에서 되팔았을거라 해석됩니다. 이렇게 해서 800만원 수준의 도용한 금액을 현금화했다라고 해석 됩니다.
스타벅스 앱 보안
이번 해킹사건에서 제일 논란이 되었던 점은 스타벅스 앱의 보안 시스템이 허술했다는 점입니다.
비밀번호를 틀렸을 경우 휴대폰 번호 인증을 한다던가, 캡챠(Capture) 시스템을 이용하는 등의 보안 조치가 없어서,
해커들이 무작위로 랜덤하게 봇을 이용한 매크로를 돌려서 해킹이 가능했습니다.
2015년에 글로벌적으로 스타벅스 앱이 해킹 된 사건이 있었습니다.
해커들이 스타벅스 고객들의 모바일 앱 계정에 침투해서 신용카드, 은행 계좌 정보 탈취했었고, 그것을 활용해서 소액의 자동충전을 계속 반복하며 수천 달러를 도난했었던 방식이었습니다. 그때 이미 스타벅스가 사건에 대응해서 앱의 보안을 강화하는 업데이트를 실시를 했었지만 그때 강화 조치했다고 했는데 "이게 지금 왜 코리아에 제대로 적용이 안 됐느냐"라고 하는 비판을 같이 받고 있다라고도 볼 수 있을 것 같습니다.
스타벅스 앱 해킹 예방 방법
1. 다른 사이트에서 사용하는 비밀번호를 되도록이면 사용하지 마세요.
2. 비밀번호 업데이트를 주기적(3달)으로 해주세요.
3. 해킹에 대비하여 자동 충전 대신 일반 충전을 권해드려요.
정리
✓스타벅스 앱 해킹 사건
스타벅스 앱이 '크리덴셜 스터핑' 해킹을 당해 90여명의 충전금 약 800만원이 도용된 사건
✓스타벅스 앱 보안
휴대폰 번호 인증, 캡챠 등 2차 인증이 없어서 보안 조치가 허술했다.
✓스타벅스 앱 해킹 예방 방법
1. 다른 사이트에서 사용하는 비밀번호를 되도록이면 사용하지 마세요.
2. 비밀번호 업데이트를 주기적(3달)으로 해주세요.
3. 해킹에 대비하여 자동 충전 대신 일반 충전을 권해드려요.