기프티콘 앱 '일상카페', 개인정보 유출…110만 건 다크웹에…
국내 모바일 쿠폰 기업 '즐거운'이 운영하는 기프티콘 앱 ‘일상카페’가 해킹 공격을 받아 고객 개인정보가 유출되는 사고가 발생했습니다.
일상카페 측은 6월 6일, 일부 고객에게 카카오톡 메시지를 통해 유출 사실을 알렸고, 지난 2일 오후 6시부터 자정까지 외부의 불법 접속으로 개인정보가 빠져나갔다는 내용을 공지했습니다.
유출된 정보는 무엇인가요?
일상카페가 밝힌 바에 따르면, 이번 사고로 유출된 정보는 고객에 따라 다르지만 닉네임, 이메일, 생년월일, 성별 등 16종의 항목이 포함될 수 있다고 설명했습니다. 일부 항목은 암호화된 상태로 저장되어 있었으며, 암호화된 데이터는 식별이 어렵다고 덧붙였습니다.
하지만, 한 해커는 다크웹에서 110만 명분의 고객 정보를 확보했다고 주장하고 있습니다. 유출된 정보에는 회원 ID, 전화번호, 이메일 주소, 성별 등 개인 식별이 가능한 정보도 포함되어 있어 2차 피해 가능성에 대한 우려가 커지고 있습니다.
개인정보가 유출되면 어떤 일이 생길 수 있을까요?
기프티콘 플랫폼은 ‘지인과 쿠폰을 주고받는 기능’, ‘결제 정보와 이메일 연동’, ‘카카오톡 기반의 전송’ 같은 구조를 갖고 있어, 유출된 정보가 다음과 같은 방식으로 악용될 수 있습니다.
1. 가짜 기프티콘 문자 사기
유출된 이름과 전화번호를 바탕으로
“홍길동님, 친구가 스타벅스 쿠폰을 보냈습니다. 수령하러 가기 → [링크]”
라는 피싱 문자를 발송하여, 가짜 링크로 접속을 유도합니다. 링크를 클릭하면 쿠폰 수령 페이지처럼 보이는 화면에서 개인정보 입력을 유도하거나, 악성 앱을 설치하게 만들 수 있습니다.
2. ‘기프티콘 환불 요청’
유출된 이메일과 전화번호를 이용해,
“안녕하세요. 이전에 보냈던 기프티콘에 문제가 있어 환불이 필요합니다. 아래 계좌로 입금 부탁드립니다.”
라는 식의 지인 사칭 사기도 가능합니다. 기프티콘을 주고받는 앱의 특성상, 사적인 금전 거래가 오가기도 해, 이런 방식은 더욱 현실적인 피해로 이어질 수 있습니다.
3. 선물한 쿠폰 회수 요청 위장
해커가 특정 계정으로 로그인한 뒤, 지인에게 보낸 쿠폰에 대해 “실수로 보냈다”거나 “환불 처리해야 한다”며 받은 쿠폰을 회수해달라고 연락할 수도 있습니다. 받는 사람은 평소에 쿠폰을 주고받던 사이기 때문에 쉽게 속을 수 있습니다.
대응 방법
현재 일상카페 측은 개인별 유출 항목 조회 페이지를 제공하고 있으며, 사용자는 이를 통해 자신의 정보 유출 여부를 확인할 수 있습니다. 그리고, 다음과 같은 조치를 취하는 것이 좋습니다.
- 기프티콘 관련 문자나 메시지의 링크는 클릭하지 않는다.
- 일상카페에 사용한 이메일과 비밀번호 조합을 다른 사이트에서 사용 중이라면 즉시 변경한다.
- 자신이 쿠폰을 보낸 적 없는 사람에게 ‘환불’이나 ‘회수 요청’이 오면 반드시 사실 여부를 확인한다.
- 피해가 의심될 경우, 개인정보분쟁조정위원회나 KISA 118센터를 통해 도움을 요청한다.
블랙쏘세지로 링크를 안전하게 보세요.
스마트폰에서 받은 링크 하나를 잘못 클릭하는 것만으로도 개인정보가 빠져나갈 수 있습니다. 악성 웹사이트에 접속하면, 입력한 개인정보가 저장되거나, 스마트폰에 악성 앱이 설치될 수 있습니다.
블랙쏘세지는 이러한 위험을 줄이기 위해 원격 브라우저 격리 기술을 사용합니다. 이는 링크를 클릭해도 사용자의 기기가 아닌, 외부의 ‘격리된 브라우저’에서 해당 페이지를 열어주는 방식입니다. 덕분에 악성 링크를 클릭해도 사용자의 스마트폰에는 아무것도 남지 않으며, 개인정보가 유출되지 않습니다.
