[디지털투데이 조믿음 기자] 1월 인터파크에 이어 지마켓에서 개인정보 도용 피해가 발생했다. 개인정보 도용 사고가 잇따르면서 이커머스 플랫폼들은 추가적인 개인정보 보호 절차를 마련하고 피해 방지에 나섰다. 

지마켓에서 1월 19일 상품권 도용 피해 사례가 발생했다. 지마켓을 통해 구매한 미사용 상품권이 ‘사용완료’ 처리되거나, 지마켓 간편결제 서비스인 ‘스마일페이’를 통한 결제가 시도되는 등의 피해가 있었다.

앞서 같은 달 11일 인터파크도 사이버 공격을 받은 것으로 알려진다. 인터파크와 지마켓이 받은 사이버 공격은 ‘크리덴셜 스터핑(Credential Stuffing)’ 공격으로 추정된다. 

크리덴셜 스터핑은 이미 유출됐거나 사전에 탈취한 로그인 정보를 다른 플랫폼에 무작위로 대입하는 방식의 해킹이다. 동일한 아이디와 비밀번호를 다른 플랫폼에서 돌려쓰는 이용자들의 특성을 기반한 수법으로 게임업계에서 아이템 등을 탈취하기 위한 수법으로 악용됐다.

최근 이커머스에서 상품권을 저렴하게 구매해 사용하는 일명 ‘상테크(상품권+재테크)’를 하는 이들을 대상으로 하는 해킹이 늘어난 것으로 보인다.

쿠팡, 11번가 등 이커머스 플랫폼들은 개인정보 보호 절차 강화에 나섰다. 

쿠팡은 내달 17일부로 이용 약관에 제 11조(회원의 아이디 및 비밀번호에 대한 의무) 조항을 신설·시행에 나선다. 해킹과 개인정보 도용 등으로 계정이 누출된 것으로 확인될 경우 고객 계정 보호 목적으로 해당 계정을 제한할 수 있다는 것을 골자로 한다. 

지마켓과 모바일 상품권 인증 방식이 유사했던 11번가는 2차 본인 인증 절차를 추가했다. 이전에는 온라인 상품권 구매 후 바로 바코드와 핀번호 등의 주요 정보를 확인할 수 있었지만, 현재는 생년월일 입력 인증을 하도록 본인 확인 절차를 추가했다. 

이에 업계 관계자는 “플랫폼 대문 성격의 부정로그인 탐지를 가장 우선 순위로 두고 해킹 방어를 해오고 있으며, 쿠폰 2차 인증 등의 방법은 장롱 시건 장치 수준 방어라고 볼 수 있다”며 “플랫폼 공격 시도는 언제나 있었으며 고객들에게 비밀번호 변경 캠페인을 주기적으로 하는 이유도 바로 여기에 있다”고 말했다. 

이어 “아직 해킹 공격을 받지 않은 플랫폼이라고 자부할 수 없는 것도 해킹 방어에 자신있다는 이야기가 외부에 알려지면 해킹 공격 시도가 대폭 늘어나는 경향이 있어 조심스럽다”고 말했다.