버거·치킨 프랜차이즈 맘스터치 홈페이지에서 ‘가짜 네이버 로그인’ 팝업이 올라온 것으로 알려진 가운데, 넥슨과의 제휴 프로모션 이벤트 정보를 확인하기 위해 접속한 소비자의 피해가 우려되고 있다. 반면 맘스터치 측은 해당 사실을 인지하고도 수일 째 어떠한 공지도 하지 않고 있다.
맘스터치는 지난 최근 넥슨코리아에서 개발한 서브컬처 게임 ‘블루 아카이브’와 제휴 프로모션을 진행했다. 이번 프로모션은 제휴 세트를 주문할 시 구매 수량당 특별 선물 쿠폰과 포토카드를 1종씩 제공하는 이벤트로, 지난 11월 16일부터 지난달 6일까지 일부 매장을 제외한 전국 맘스터치 매장에서 진행됐다. 특히 이번 프로모션은 이벤트 메뉴가 오전 중 모두 소진되는 등 많은 관심을 받은 것으로 알려졌다.
반면 이번 프로모션을 통한 우려의 목소리도 제기되고 있다. 제휴 프로모션 진행 중 맘스터치의 공식 홈페이지에 ‘팝업형 피싱’으로 불리는 ‘네이버 로그인’ 팝업이 올라왔기 때문이다. 해당 팝업은 모든 아이디와 비밀번호에 접속을 허가하고 있으며, 입력된 로그인 정보를 특정 서버로 전송하고 있는 것으로 나타났다. 아울러 해당 팝업이 온라인 커뮤니티를 통해 보고된 것은 11월 29일 이후로, 맘스터치 홈페이지 내 ‘가짜 네이버 로그인’ 팝업은 최소 3일 이상 방치된 것으로 보인다.
특히 로그인 팝업이 넥슨과의 제휴 프로모션 중 올라왔단 점에서, 해커가 탈취한 로그인 정보를 통해 넥슨 등의 게임 계정을 공격할 가능성도 제기됐다. 사전에 탈취한 로그인 정보를 통해 사용자의 계정을 탈취하는 공격 방식은, 주로 게임 아이템이나 포인트와 같은 디지털 재화를 취급하는 플랫폼을 대상으로 발생하기 때문이다. 앞서 넥슨은 지난해 9월 이러한 방식으로 수집된 로그인 정보를 통한 공격 시도가 있었다고 밝히기도 했다.
이번 가짜 로그인 팝업에 의한 추가적인 해킹 피해가 우려되고 있음에도, 맘스터치의 대응은 수일 째 감감무소식이다. 맘스터치 측은 해당 사실을 인지해 수정 작업을 거쳤으나, 고객 피해를 최소화하기 위한 어떠한 공지도 하지 않고 있는 상황이다. 맘스터치 홈페이지는 고객의 개인정보를 저장하지 않는 오픈형 홈페이지기에, 개인정보 유출에 따른 통지 의무가 없기 때문으로 풀이된다.
맘스터치의 홈페이지 보안 실태 또한 우려되고 있다. 맘스터치는 지난해 12월에도 같은 보안사고가 발생했었기 때문이다. 당시 맘스터치는 “홈페이지가 해킹돼 피싱 팝업이 노출됐으며, 추가적인 보안을 취하고 있다”라고 밝혔다. 하지만 같은 사고가 발생했을 뿐 아니라, 해킹 사고에 따른 대처 또한 아쉬운 모습을 보이고 있다. 특히 맘스터치 홈페이지는 개인정보를 저장하지 않고 있으나, ‘고객문의’ 등을 통한 이용자 개인정보 유출에 대해서는 여전히 우려되는 상황이다.
한편 <뉴스워커>는 해킹 피해 사실과 한국인터넷진흥원(KISA) 신고 여부 등을 확인하기 위해 맘스터치 관계자에 여러 차례 연락을 시도했으나, 맘스터치 측은 수일 째 답변을 하지 않고 있다.
- 78만건 규모 개인정보 유출사고 발생한 인터파크, 지난해 정보보호 투자 오히려 축소
- 워크넷, 23만명 개인정보 유출 정황 확인돼... 이례적 피해 규모 원인은?
- [단독] 23만명 개인정보 유출된 워크넷, '캡챠(CAPTCHA)' 조차 없었다... 106억 보안예산 어디로?
- [단독] 스타벅스, 개인정보 도용으로 인한 피해 발생... 일부 고객 앱카드 부정 결제 했다
- 한 달 새 3차례 발생한 '크리덴셜 스터핑' 공격... 기업 및 기관의 역할 막중
- 23만명 개인정보 유출된 워크넷, 7일간 해킹 사실 몰라... 보안 조치 미흡 지적돼
- 동행복권, 해킹 하루만에 홈페이지 재개... "개인정보 유출 규모 파악 단계, 로그인 방식은 유지"
- 넥슨, ‘블루 아카이브’와 맘스터치 제휴 프로모션 실시
- [단독] 맘스터치, 홈페이지 '가짜 네이버 로그인' 팝업 의혹... 소비자 피해 우려에도 공지 없었다