KT알파서 무단결제… “불법수집 개인정보로 접속한듯”

간편결제 등록 카드로 상품권 결제
14일 사고 인지뒤 경찰 등에 신고
2년전에도 해킹 당해 계정 탈취

크게보기

KT의 홈쇼핑 자회사 KT알파에서 상품권이 무단으로 결제되는 사고가 발생했다. 올해 쿠팡 등 주요 플랫폼에서 개인정보가 대규모로 유출된 데 이어 실제 결제 피해까지 잇따르면서 소비자들의 불안이 확산되고 있다.

25일 KT알파에 따르면 14일 고객센터에는 “앱에 등록된 체크카드로 결제가 시도됐다” “해킹이 의심된다” 등의 문의가 잇따라 접수됐다. KT알파가 운영하는 모바일 선물 서비스 플랫폼 ‘기프티쇼’에서 간편결제에 등록된 카드를 통해 50만 원 상당의 상품권이 여러 차례 본인 의사와 무관하게 결제됐다는 것이다. 간편결제 서비스는 별도의 비밀번호 입력이나 생체 인증 없이 클릭만으로 결제가 이뤄지는 구조다.

KT알파 측은 “이번 사고는 외부에서 불법으로 수집된 개인정보를 이용해 계정에 접속한 뒤 결제를 진행하는 ‘계정 도용’ 수법에 따른 것으로 보고 있다”고 밝혔다. 쿠팡의 대규모 개인정보 유출 사태처럼 내부자에 의한 해킹이나 시스템 침입은 아니라는 설명이다.

KT알파는 고객센터 신고를 통해 14일 사고를 인지했으며, 15일 피해 금액을 전액 결제 취소했다고 밝혔다. 같은 날 경찰과 한국인터넷진흥원, 개인정보보호위원회 등 관계 기관에도 신고했다. KT알파 관계자는 “정확한 피해 규모와 범행 방식 등은 현재 관계 기관의 조사가 진행되고 있어 밝힐 수 없다”며 “사고 이후 부정 로그인을 차단하고 보안 모니터링을 강화하는 조치를 진행했다”고 밝혔다.

KT알파의 보안 사고는 이번이 처음이 아니다. 앞서 2023년 1월부터 지난해 2월까지 ‘크리덴셜 스터핑’ 방식의 해킹 공격을 받아 회원 계정 약 9만8000개가 탈취된 바 있다. 크리덴셜 스터핑은 사전에 확보한 다수의 ID와 비밀번호를 무작위로 입력해 로그인을 시도하는 방식이다. 이 사고로 KT알파는 올해 4월 개인정보보호위원회로부터 과징금 491만 원, 과태로 690만 원을 부과받았다.