남 카드로 텀블러들 '슬쩍'…3천억 육박 스벅 앱 뚫렸다

<앵커>

스타벅스 앱에서 해킹으로 충전금이 무단 사용되는 피해가 잇따라 발생했습니다. 스타벅스는 뒤늦게 보안 강화 대책을 내놨습니다.

유덕기 기자가 취재했습니다.

<기자>

지난 10일 경기도에 사는 김 모 씨는 한국 스타벅스에서 갑작스러운 문자를 받았습니다.

해외IP를 통한 이상 접근이 있어 김 씨의 계정을 잠금처리 했다는 내용입니다.

바로 스타벅스 앱을 확인했더니 누군가가 김 씨의 앱에 자동으로 연결된 신용카드를 이용해 30만 원을 충전해 가며 텀블러들을 사 간 것으로 돼 있었습니다.

[김 모 씨/스타벅스 앱 해킹 피해자 : (앱 알람이 떠도 자동충전이) 그냥 됐나 보다 하고 넘어갔거든요. 나중에 보니까 자동 충전은 여섯 번 결제는 일곱 번.]

앞서 지난 8일 서울에 사는 이 모 씨도 같은 피해를 입은 것을 확인했습니다.

[이 모 씨/스타벅스 앱 해킹 최초 신고 : 스타벅스 관련해서 친구랑 얘기를 하다가 어플에 들어갔거든요. 제 충전된 금액이 전부 0원으로 떠서 (알게 됐죠.)]

외부 사이트에서 해킹한 아이디와 비밀번호를 스타벅스 앱 계정에 무작위로 대입하는 해킹 수법이 사용된 것으로 추정됩니다.

일반적으로 여러 앱에서 같은 아이디와 비밀번호를 사용하는 패턴을 노린 수법입니다.

부정결제는 주로 현금화가 가능한 텀블러 구매에 집중돼 있었는데, 지금까지 약 90개 계정에서 800만 원의 피해금액이 발생한 것으로 파악됐습니다.

아직 피해 사실을 인지하지 못한 소비자들도 있을 것으로 추정됩니다.

문제는 스타벅스 앱이 아이디와 비밀번호만 입력해 로그인하면 별도의 인증 절차 없이 미리 등록된 신용카드로 돈을 충전하고 사용할 수 있다는 점입니다.

게다가 앱의 결제용 바코드 보안이 허술해 캡쳐돼 활용된 것도 문제입니다.

스타벅스는 10일부터 집중적으로 앱 로그인을 시도한 해외 인터넷 주소를 차단하고 당국에 신고했다고 밝혔습니다.

하지만 8일 첫 신고가 있었는데 늑장대응을 했다는 비판에서도 자유롭지 않습니다.

스타벅스 앱에 충전된 선불 충전금액은 지난해 말 기준 2천982억 원에 달합니다.

[이성훈/세종대 경영대학원 교수 : 적립금을 제대로 기업이 관리하고 그리고 적법하게 운영하고 있는지 적극적으로 모니터링 하는 제도적인 보완장치가 마련이 돼야 (합니다.)]

스타벅스는 피해가 확인된 경우에 대해서는 전액 보전하고 재발 방지를 위해 강화된 인증 방안을 마련하겠다고 밝혔습니다.

(영상취재 : 김원배·이상학, 영상편집 : 최은진)