KT알파 ‘상품권 무단결제’ 사고…“불법 수집한 아이디·비번 사용”

“피해 결제 전액 환불…보안 강화”

KT알파. [연합뉴스]

KT알파가 운영하는 모바일 선물 서비스 플랫폼 ‘기프티쇼’에서 지난 14일 상품권 무단 결제 사고가 발생한 것으로 알려졌다.

25일 KT알파에 따르면 14일 고객센터에는 “앱에 등록된 체크카드로 결제가 시도됐다” “해킹이 의심된다” 등의 문의가 연이어 접수됐다. 기프티쇼에서 간편결제에 등록된 카드를 통해 50만원 상당의 상품권이 본인 의사와 무관하게 여러 차례 결제됐다는 내용이다.

기프티쇼 간편결제 서비스는 별도의 비밀번호 입력이나 생체 인증 없이 클릭만으로 결제가 이뤄지기 때문에 이같은 사고가 발생할 가능성이 있다.

이에 대해 KT알파 측은 “이번 사고는 외부에서 불법으로 수집된 개인정보를 이용해 계정에 접속한 뒤 결제를 진행하는 ‘계정 도용’ 수법에 따른 것으로 추정된다”고 밝혔다.

쿠팡의 대규모 개인정보 유출 사태처럼 내부자에 의한 해킹이나 시스템 침입이 아닌, 외부에서 타인의 아이디와 비밀번호 등 개인 정보를 도용해 결제까지 진행했다는 설명이다.

KT알파는 고객센터 신고를 통해 14일 사고를 인지했으며, 15일 피해 금액을 전액 결제 취소했다고 밝혔다. 같은 날 경찰과 한국인터넷진흥원, 개인정보보호위원회 등 관계 기관에도 신고했다.

이에 따라 부정 로그인을 차단하고, 보안 모니터링을 강화하는 등 긴급 보안 조치를 진행했다고 KT알파는 설명했다.

또 재발 방지를 위해 결제 인증 절차 강화·이상 거래 탐지 체계 고도화·고객 대상 보안 안내 확대 등을 추진 중이다.

KT알파의 보안 사고는 이번이 처음이 아니다. 앞서 2023년 1월부터 지난해 2월까지 ‘크리덴셜 스터핑’ 방식으로 해킹 공격을 받아 회원 계정 약 9만8000개가 탈취된 바 있다.

크리덴셜 스터핑은 사전에 확보한 다수의 ID와 비밀번호를 무작위로 입력해 로그인을 시도하는 방식이다.

이 사고로 KT알파는 올해 4월 개인정보보호위원회로부터 과징금 491만원, 과태로 690만원을 부과받았다.

[ⓒ 매일경제 & mk.co.kr, 무단 전재, 재배포 및 AI학습 이용 금지]