[아이티데일리] 지난달 16일경부터 온라인 커뮤니티에는 온라인 쇼핑몰인 ‘지마켓’에서 구매한 상품권이 사라졌다는 게시글이 올라오기 시작했다. 적게는 몇천 원부터 많게는 수백만 원까지, 지마켓을 통해 구매해놨던 미사용 상품권들이 모두 사용 처리됐다는 내용이었다. 피해자들은 지마켓 계정과 비밀번호가 도용된 것으로 추정하면서 지마켓 측에 문의한 결과들을 공유했다. 지마켓 측은 해외, 특히 중국 IP를 통해 서비스에 접속하고 상품권을 사용한 흔적이 발견됐다며 피해자들에게 비밀번호 변경 등의 후속 조치를 안내했다.

이번 사건은 다수의 피해자들이 누군가 지마켓 서비스에 계속해서 로그인을 시도한 정황을 발견했다는 점에 비춰봤을 때 ‘크리덴셜 스터핑(Credential Stuffing)’ 공격으로 의심되고 있다. 크리덴셜 스터핑이란 사용자의 계정을 탈취하는 공격 방법 중 하나로, 이미 확보한 사용자의 로그인 관련 정보를 여러 사이트에 대입해 계정을 탈취하는 것을 의미한다.

사용자들은 일반적으로 계정과 비밀번호를 몇 가지 정해두고 여러 사이트에서 동일하게 사용하는 경우가 많다. 사이트마다 다른 비밀번호를 사용하는 방법은 현실적으로 기억하기가 어려워 잘 사용되지 않는다. 또한 일반적으로 많은 사이트들이 몇 개월에 한 번씩 비밀번호를 바꾸라고 권고하지만, 이 역시 사용자 입장에서는 너무나 지키기 어려운 권고사항이다.

하지만 한 사이트에서 계정과 비밀번호가 탈취되면 같은 계정명 및 비밀번호를 사용하는 다른 웹사이트 및 서비스도 계정 도용 위험에 처하게 된다. 따라서 계정 및 비밀번호를 소홀히 관리하면 개인정보 유출은 물론 이번 지마켓 사태와 같이 금전적 피해까지 입을 수 있다는 점에서 사용자들이 앞으로 더욱 경각심을 가질 필요가 있다.

개인정보보호위원회는 이번 지마켓 사태와 관련해 가능하면 웹사이트별로 다른 비밀번호를 사용할 것을 권장한다고 발표했다. 하지만 역시 이런 대처 방법을 실천하기란 현실적으로 쉽지 않다. 수십, 수백 개의 사이트를 이용하는 오늘날의 사용자들이 사이트별로 다른 비밀번호를 사용하는 것은 매우 어려운 일이다. 따라서 서비스 제공사들이 휴대폰 문자, 이메일, 전화 등을 이용해 ‘2단계 인증’을 할 수 있도록 함으로써 보안을 강화해야 한다고 전문가들은 조언하고 있다. 또 이번 지마켓 사태와 관련해 사용자들이 추가로 지적한 것은 로그인만 하면 아무런 제약 없이 상품권 번호를 확인하고 사용까지 할 수 있었다는 점이었다. 이에 이번 사건이 발생하자 지마켓은 물론 경쟁사들까지 추가적인 인증이 없으면 상품권 번호를 볼 수 없도록 개편에 들어갔다.

지마켓 측은 다행히 이번에 피해를 본 상품권 구매자들에게 보상을 해주는 등의 대처를 제공하고 있다. 그러나 보상도 중요하지만 크리덴셜 스터핑 공격이 있더라도 로그인을 할 수 없도록 시스템을 마련하는 일도 잊어서는 안 된다. 계정과 비밀번호만으로 이뤄진 단순한 인증 방식을 뒤로 하고, 이제는 생체인증 등을 활용하거나 2단계 인증을 추가로 도입하는 등의 조치가 본격적으로 이뤄져야 한다. 물론 기업들로서는 비용이 드는 일이라 쉽게 결정하기는 어렵겠지만, 필요하다면 정책적인 압박과 지원을 해서라도 반드시 변화할 수 있도록 해야 한다. 가만히 있어서는 같은 수법의 공격에 피해자만 늘어날 뿐이다.