신세계그룹 간편결제서비스인 SSG페이에서 사용자 승인 없이 제품이 결제돼 소비자들이 불안에 떨고 있다. (사진=SSG페이 유튜브 영상 캡쳐)
신세계그룹 간편결제서비스인 SSG페이에서 사용자 승인 없이 제품이 결제됐다.
9일 현재 SSG페이의 현재 명의도용 관련 건수는 6건이다. 신세계그룹 측은 시스템이 해킹된 건이 아니며 피해 고객들에게 보상 방안을 검토하고 있다는 입장이다.
업계에 따르면 최근 SSG페이를 통해 소비자가 구매하지 않은 상품이 결제되는 사건이 발생했다. 소비자가 결제하지 않은 스타벅스 쿠폰 50여건이 특정 번호로 전송됐다는 내용이다. 당시 피해액수는 50만원이었다.
소비자 A씨는 최근 SSG페이로 50만원이 결제됐다는 메시지를 받았다. A씨는 SSG고객센터에 관련 내용을 문의한 후 경찰에 사건을 접수했다. A씨는 이 과정에서 경찰로부터 결제 당시 IP를 가져오라는 답변을 받았다. 또한 SSG고객센터로부터는 개인정보라 정보를 제공할 수 없다는 말만 들을 수 있었다.
같은날 B씨도 같은 문자를 받은 뒤 고객센터에 신고했지만 “피해금액에 대한 환불이 불가능하다”는 답변을 받았다. 고객센터는 비밀번호를 5번 잘못 기입하면 잠긴다는 이유를 들었다.
하루 후인 지난 5일 C씨도 총 50만원이 결제됐다는 메시지를 받았다. C씨도 SSG페이 고객센터에 문의했지만 “경찰의 수사협조 공문을 받아와야 접수가 가능하다”는 답변만 들을 수 있었다.
SSG페이 결제 관련 사고는 작년 9월에도 있었다. 당시 소비자들이 등록한 카드가 아닌 다른 카드로 결제되는 사건이 1000건이 발생했었다. 당시 SSG페이는 “SSG닷컴에서 결제정보를 SSG페이로 전송하는 과정에서 데이터가 잘못 연결됐다. 해킹 등 개인정보 유출문제는 아니다”라고 해명했다.
일각에서는 SSG페이와 같은 핀테크업체들이 금융권으로 진입하는 과정에서 보안에 대한 검증은 상대적으로 허술한게 아니냐는 지적도 제기되고 있다.
SSG닷컴 관계자는 이번 사건에 대해 시스템이 해킹당한 것이 아니라는 입장을 밝혔다. 이번 건은 크리덴셜 스터핑에 따른 비정상적인 접속이 있었다고 설명했다.
크리덴셜 스터핑이란 사용자 계정을 탈취해 공격하는 유형 중 하나다. 다른 곳에서 유출된 아이디와 비밀번호 등의 정보를 다른 웹사이트나 앱에 무작위로 대입해 로그인되면 타인의 정보를 유출하는 수법이다.
SSG닷컴 측은 “이번 사례는 시스템적 해킹을 당한 것이 아니다. 현재 관련사안을 금감원에 보고했다”며 “이번 피해와 관련해 사측에서 보상 방안을 검토하고 있다. 추후 유사한 사례가 발생할 수 있음을 대비해 접속환경이 달라지면 다른 방식으로 결제할 수 있도록 하는 방안을 검토하고 있다”고 덧붙였다.