G마켓에서 구매한 미사용 상품권이 고객도 모르게 동시다발적으로 '사용완료'된 것으로 확인되며 고객 계정 도용 피해 사례가 속출하고 있다. 

19일 온라인 커뮤니티 및 소셜미디어(SNS)에 G마켓을 통해 구매한 미사용 상품권이 ‘사용 완료’된 것으로 뜨거나, G마켓 간편결제 서비스인 스마일페이를 통한 결제가 시도됐다는 피해 사례가 잇따라 올라오고 있다.

A씨는 한 온라인 커뮤니티를 통해 "G마켓에서 컬쳐랜드 상품권을 구매했고 충전 전이고 핀번호를 노출한 적이 없는데 상품권이 사용처리가 됐다"고 설명했다.

B씨도 "며칠 전 구매한 상품권을 충전하려고 보니 북앤라이프 사용했다고 뜬다"며 "사용한 적이 없어 북앤라이프에 문의하니 게임사에서 아용했다고 했다"는 글을 게재했다.

자신의 계정을 로그인할 수 없다는 사람도 있었다. C씨는 “사이트 로그인이 불가능한 상황”이라며 “고객센터에 전화해도 이유를 모르겠다고 한다”고 적었다.

이런 정황은 지난 10일부터 커뮤니티를 통해 피해 사례를 담은 게시글이 속속 올라오면서 알려졌다. 일부 고객들은 지마켓의 보안에 문제가 있다는 의혹을 제기하기도 했다. 

그러나 G마켓 측은 이번 피해가 고객의 ID와 비밀번호를 무작위로 대입해 개인정보를 도용하는 해킹으로 발생한 것으로 보인다고 설명했다. 상당수 사용자가 많은 여러 사이트에서 동일 아이디와 비밀번호를 쓰고 있기에 이같은 사고가 발생했다는 것.

더불어 G마켓은 사이트 시스템 자체 해킹은 아닌 것으로 보고 있다.

피해 사례가 속출하자 일부 고객의 계정은 보호 상태로 전환했다. 후속피해를 방지하고자 G마켓 측에서 관련 개인 계정의 로그인을 일시적으로 막은 것으로 확인됐다.
 
G마켓 관계자는 "개인정보 도용이 의심돼 관련 개인 계정 폐쇄 및 보호 등 조치를 취했다"며 "피해 규모 파악 등 후속조치를 마련 중"이라고 말했다.

한편, 개인정보보호위원회는 크리덴셜 스터핑(Credential Stuffing) 등 이같은 계정정보 도용 사례가 빗발치자 유출된 정황이 확인된 G마켓에 대한 조사를 진행하고 있는 것으로 알려졌다.  

크리덴셜 스터핑 공격은 해커가 이미 유출되거나 사전에 탈취한 사용자 계정(ID)과 비밀번호를 다른 누리집(웹사이트) 등에 무작위로 대입해서 로그인이 성공하면 해당 사용자 정보를 빼가는 공격 수법이다.

양청삼 개인정보위 조사조정국장은 "온라인쇼핑몰 사업자들은 계정정보 도용 피해가 발생하지 않도록 도용 의심 사례가 없는지 사용자 접속기록 및 이용현황을 철저히 분석·점검하고, 가능하다면 비밀번호 변경 안내, 2차 인증 등 계정정보 도용 방지를 위한 추가 조치를 취해달라"고 당부했다.