크리덴셜 스터핑을 이용한 계정정보

최근 많은 소비자들이 이용하는 대형 전자상거래 사이트에서 사용자의 개인정보가 도용되는 사례가 잇따르고 있습니다.

해커는 이전에 유출된 자격 증명을 무작위로 할당하는 자격 증명 스터핑을 통해 사용자 계정에 액세스하여 개인 정보와 전자 상품권을 훔쳤습니다.

이벤트 개요

이미 구매한 상품권을 선충전한 상품권을 사용한 것으로 취급하는 상품권 도용 사례가 각종 온라인 커뮤니티에서 적발됐다.

회사는 피해 사실을 인지하고 보안당국 등 유관기관과 함께 대응하고 있다.

현재까지 4000만원 상당의 상품권 100여장이 사용된 것으로 확인돼 추가 피해 여부를 조사하고 있다.

또 다른 업체에서는 신원 미상인 것으로 추정되는 계정 정보로 로그인을 시도한 사실을 확인했으며, 개인정보 유출 의심 사례도 확인됐다.

이번 공격으로 일부 회원의 이메일, 성별, 생년월일, 전화번호, 주소, 회원정보 등이 유출됐을 가능성이 있는 것으로 전해졌다.

무엇보다 온라인 쇼핑몰 등 인터넷 이용자들이 서로 다른 사이트에서 동일한 계정 정보를 사용하는 경우가 많아 개인정보 유실, 금전적 피해 등 추가 피해가 우려된다.

반복되는 개인정보 유출 사유

회사와 보안기관에서 사건을 조사하고 있지만 크리덴셜 스터핑 공격이 외부에서 수집한 계정 정보로 로그인을 시도하는 경우 회사가 특히 잘못 행동했기 때문에 사고가 발생했다고 단정짓는 것도 모호한 공격이다.

. . 한편, 소비자단체와 이용자들은 솜뭉치 처벌이 개인정보 사고로 이어진다는 점을 지적하며 집단소송 도입과 최대 3배의 손해배상액을 규정하는 징벌적 손해배상 제도 강화 등을 주장한다.

.

2022년 개인정보 유출사고 형사소송

● 온라인 명품플랫폼 고객 162만명의 이름, 주소, 휴대폰번호 등 개인정보 유출
: 과태료 5억 1,259만 원, 과태료 1,440만 원이 부과되었습니다.

● 온라인 쇼핑몰 알림 발송 시 선물함 링크 잘못 발송하여 개인정보 분실 2,583건
: 과태료 3억6497만원, 과태료 3600만원이 부과됐다.

계정 정보 도용을 방지하는 방법

뚜렷한 대책 없이 개인정보 분실사고가 끊이지 않고 반복되면서 이용자 피해가 커지고 있다.

따라서 결과적으로 손상되지 않도록 주의해야 합니다.

여러 웹사이트에서 하나의 계정과 비밀번호를 사용하는 경우 먼저 비밀번호를 변경하고 각 웹사이트마다 다른 비밀번호를 사용해야 합니다.

한 곳에서 계정과 비밀번호를 도난당하면 여러 웹사이트에서 계정을 도난당해 피해를 입을 수 있기 때문입니다.

또한 다음과 같이 2차 인증을 허용하는 웹사이트 또는 앱 예를 들어, 휴대폰 문자 인증, 이메일 인증, 전화 인증, 생체 인증 등은 비밀번호 외에 2차 인증을 의무화하여 보안을 강화하고, 장기간 방문하지 않았거나 접속이 필요하지 않은 사이트에 대해 보안을 강화하고 있습니다.

해당 사이트는 E-Privacy Clean 서비스를 통하여 회원탈퇴를 할 수 있는 방법이 있습니다.