3일 경기남부경찰청 사이버수사과에 따르면, 현재까지 G마켓 무단결제와 관련해 정식 접수된 피해 신고는 총 45건이다.
피해 규모는 총액 약 960만 원 (개인별 3만~40만 원 상당)
범행 수법으로 지난해 11월 28~29일 집중 발생. 용의자들은 무단 로그인 후 현금화가 쉬운 모바일 상품권을 집중 결제했다.
특정 지역에 국한되지 않고 전국적으로 피해가 산발적으로 나타나고 있다.
G마켓 측은 이번 사건이 서버 자체를 뚫는 '해킹'과는 성격이 다르다고 선을 그었다. 제임스 장(장승환) G마켓 대표는 임직원 메시지를 통해 "외부 침입 흔적은 전혀 없었다"며 이번 사고를 전형적인 '도용 범죄'로 규정했다.
범죄의 핵심 수법으로 지목된 것은 '크리덴셜 스터핑(Credential Stuffing)'이다.
이는 이미 유출된 다른 사이트의 아이디와 비밀번호를 무작위로 대입해 로그인을 시도하는 방식이다. 공교롭게도 사고 발생일은 쿠팡이 대규모 계정 정보 유출을 공지한 날과 겹쳐, 유출된 정보가 범죄에 직간접적으로 이용됐을 가능성도 제기된다.
경찰은 피해자 조사를 마무리하고 용의자 특정에 수사력을 모으고 있다.
접속 기록 확보: 무단결제 당시의 IP 주소를 확보해 접속 위치를 분석 중이다.
무단결제된 상품권들이 어디서, 누구에 의해 사용되었는지 경로를 파악해 용의자의 꼬리를 밟겠다는 전략이다.
이번 사건은 여러 사이트에서 동일한 계정 정보를 사용하는 한국 이용자들의 보안 관행을 정조준했다.
보안 전문가들은 "내 아이디가 다른 곳에서 유출되는 순간, 모든 사이트의 문이 열리는 셈"이라며 "비밀번호를 주기적으로 변경하고, 로그인 시 휴대전화 인증 등 2단계 인증을 반드시 설정해야 한다"고 조언한다.
피해 인지가 늦어지는 사례가 이어지고 있어, 향후 피해 신고 건수와 액수는 더욱 늘어날 것으로 보인다.
댓글
댓글 기능은 준비 중입니다.