Breaking
사이버 보안(Cybersecurity)
사기 주문 사례 증가, 치폴레 사용자 계정 해킹돼
2019-06-12 10:44:49
장희주
▲치폴레의 계정이 해킹됐다는 사기 주문 사례가 늘어나고 있다(사진=ⓒ플리커)

[라이헨바흐=장희주 기자] 레딧과 트위터를 중심으로 미국 내 멕시코 음식 프랜차이즈인 치폴레에 사기 주문을 당했다는 사례가 속속 등장하고 있다. 치폴레에서 이용하는 자신들의 계정이 도용당하고 있다는 것이다.

심지어 100달러가 넘는 주문이 이루어진 경우도 발생한 것으로 보이며, 한 사용자는 자신의 계정이 해킹당했다며, 누군가 42달러치 음식을 주문햇고 자신의 신용 카드로 결제됐다고 주장했다. 이 사용자는 이후 자신이 매장과 회사 웹사이트에 모두 연락했지만 여지껏 아무런 응답을 받지 못하고 있다고 토로했다.

이처럼 주문 사기를 당한 이들은 최근 며칠 간 치폴레의 트위터 계정으로 모여들어 자신들의 사례를 언급하며 사태 확인에 나서고 있다. 이들은 모두 자신의 계정을 통해 이루어진 주문이 다른 곳으로 배달되고 있다고 주장하고 있는데, 실제로 대다수 주문의 경우, 실제 고객이 거주하지 않는 곳에서 이루어진 것으로 알려진다. 이에 환불 요구도 증가하고 있다.

리덴셜 스터핑 공격

이와 관련 치폴레 대변인은 이번 사태가 '크리덴셜 스터핑' 공격으로 의심된다고 밝혔다. 아직 크리덴셜 스터핑 공격이라는 확실한 증거는 아직 없지만, 만일 사실이라면 치폴레에서 다룰 수 있는 사안을 넘어선 더 큰 위험성이 가중될 수 있어 문제가 심각해진다. 

크리덴셜은 사용자의 개인 신상이 암호화된 정보로 해커들이 이러한 정보를 확보해 다른 인증 계정에 지속적으로 스터핑, 즉 대입하는 방식이다. 많은 접속 시도를 통해 로그인 정보가 맞아들어가면 해당 계정을 탈취하는 수법이다. 

이러한 공격 형태가 위험한 이유는 많은 사람이 기본적으로 유저네임을 비롯한 암호를 다양한 웹사이트에 동일하게 사용하는 경향이 높기 때문이다. 로그인 증명에 성공하면 해커는 다른 웹사이트와 데이터베이스로 해킹 타겟을 확대해 더 큰 피해를 입힐 수 있다. 은행 계좌와 신용카드 및 다른 여러 분야에서 막대한 영향을 받을 수 있다.

▲치폴레와 도어대시 등 요식업과 관련된 해킹 사례가 지속되고 있다(사진=ⓒ게티이미지)

이번 치폴레의 경우 해커들이 희생자들의 다른 금융 데이터, 특히 신용 카드 정보를 노리고 치폴레에서 이를 통해 주문을 한 것으로 보인다. 다른 유출된 웹사이트로부터 유저네임과 암호를 탈취하고 탈취한 암호들을 일종의 지렛대로 활용, 치폴레 계정에 크리덴셜 스터핑을 가한 것이란 분석이다.

실제로 일부 고객들의 사례는 이러한 크리덴셜 스터핑 공격 수법과 맞아떨어진다. 많은 고객이 자신의 치폴레 계정과 동일한 다른 여러가지의 계정을 가지고 있다고 말했다. 그러나 반면 반대의 주장을 펼치는 이들도 있다. 

IT 매체 테크크런치에 따르면, 일부 사용자들은 다른 웹사이트의 계정과 치폴레의 계정에 사용되는 유저네임 및 암호가 다르다고 밝혔다. 심지어 치폴레 계정에는 주문용으로 활용하는 게스트 체크아웃 기능만 사용한다며, 이번 사건 이전 치폴레에 공식 계정을 만들지 않았다고 밝힌 이들도 있었다.

치폴레 대변인 로리 샬로우는 회사가 현재 파악하고 있는 가능한 모든 계정 보안 문제를 모니터링하고 있으며, 고객들의 개인 데이터 침해 징후는 보이지 않는다고 밝혔다. 결국 이번 사건이 크리덴셜 스터핑 공격이라는 것을 강조하는 것이다.

지속되는 보안 문제

치폴레가 이같은 광범위한 보안 문제에 직면한 것이 처음은 아니다. 

2017년에도 미국 내 250여 개 매장에서 갑작스러운 대규모 데이터 침해 사건이 발생한 바 있다. 이에 더해 최근의 사태까지 발생하면서, 고객들은 치폴레의 보안 행태에 더욱 의심을 가지는 계기가 되고 있다. 

당시 사건은 또한 치폴레뿐 아니라 피제리아 로캘에까지 영향을 미쳤다. 침해된 영역과 영향력이 커서 피해를 입은 고객들의 문의에 응하는 전용 웹사이트까지 개설했다. 그리고 조사 결과, 두 식당의 포스 장치를 통해 고객의 결제 카드를 노린 악성코드 감염이 원인인 것으로 드러났다.

이듬해에도 유사한 크리덴셜 스터핑 사건이 보고됐다. 이때는 배달 앱인 도어대시 고객이 피해를 입었는데, 도어대시 역시 치폴레처럼 크리덴셜 스터핑 공격 탓으로 돌렸다. 그러나 당시에도 일부 사용자들은 도어대시에만 사용하는 고유 계정이 존재한다고 주장했으며, 동시에 도어대시는 크리덴셜 스터핑이 원인이라는 명확한 증거도 제시하지 못했다.

[라이헨바흐=장희주 기자]