일본 세븐일레븐, 간편결제 해킹으로 사용자 카드 약 6억원 도난당해
일본 세븐일레븐에서 간편결제 해킹 사고가 발생했다. 일본 세븐일레븐 전용 간편결제인 7Pay 앱에서 7월 1일 출시된 기능인데, 출시 직후인 7월 2일 결제 사고가 발생했고, 결국 일본 세븐일레븐은 하루 뒤인 7월 3일 모바일 결제 기능을 중단했다.
피해자는 총 900여명이며 피해액은 약 6억원(5500만엔) 정도다.
7Pay 모바일 결제는 카카오페이나 페이코처럼 앱으로 바코드를 생성해 점원에게 보여주면, 이 바코드를 점원이 스캔해 결제하는 방식이다. 결제 금액은 신용카드 혹은 직불카드로 결제된다. 그러나 결제를 하지 않은 고객이 항의하자 일본 세븐일레븐은 사태를 파악한 것이다.
문제점은 비밀번호 재설정 링크를 제삼자의 이메일 주소로 보낼 수 있다는 것이었다. 비밀번호 재설정을 위해서는 사용자의 전화번호, 생년월일, 이메일을 알고 있어야 한다. 그러나 일본 웹사이트의 경우 생년월일을 필수로 입력하지 않는 경우가 더 많다. 7Pay 앱에서는 생년월일을 입력하지 않을 경우 2019년 1월 1일로 설정된다. 따라서 전화번호와 이메일 주소만 알고 있다면 비밀번호 재설정 메일을 사용자 자신이 아닌 해커의 계정으로 보낼 수 있는 것이었다.
うわあアア…… pic.twitter.com/e2DTyVR1Qy
— Hiromitsu Takagi (@HiromitsuTakagi) July 3, 2019
iOS 버전에서 생년월일 입력 없이 가입하는 경우를 나타낸 트윗
사전에 개인정보를 보유하고 있던 해커는 아직 검거되지 않았다. 다만, 검거된 중국인 2인은 다른 일본 세븐일레븐 편의점을 돌며 전자담배 카트리지를 사재기하다 경찰에게 적발됐다. 이들은 자신들이 직접 해킹을 한 것이 아니라 위챗에서 “돈을 많이 버는 아르바이트가 있다”며 다른 이들에게 계정을 받아 전자담배 카트리지를 구매하는 지시를 받았다고 한다. 일본 경찰은 이들과 연관된 해커 조직을 검거하려 노력 중이라고.
이러한 문제는 일본 세븐일레븐 운영 기업 세븐&아이 홀딩스(Seven & I Holdings Co.)가 일본결제협회(Payments Japan Association)나 경제산업성의 가이드라인을 지키지 않은 것에서 기인한다. 결제협회나 경제산업성은 무단 액세스를 방지하기 위해 기기와 앱간의 연결을 확인하거나, 2단계 인증 등을 거치도록 권고하고 있으나 7Pay에서는 2단계 인증이 존재하지 않았다고 한다.
세븐&아이 홀딩스는 피해 금액을 모두 보상할 것이라고 발표했다.
국내 간편결제 앱은 대부분 2단계 인증을 제공하고 있으므로 위와 같은 피해사례는 존재하지 않겠으나 국내 업체도 편의성을 위해 생략하고 있는 것이 무엇인지는 돌아봐야 하겠다. 국내 소비자들의 개인정보는 중국에서 쉽게 구할 수 있으니 말이다.
글. 바이라인네트워크
<이종철 기자> jude@byline.network