4일 G마켓은 이날 오전 중으로 모바일 상품권 무단 결제 피해를 입은 고객 전원에게 피해 금액을 환불 완료했다. 보상 금액은 현금처럼 즉시 출금하거나 사용할 수 있는 '스마일머니'로 입금됐다.
이는 전날인 3일 "피해 고객 전원에게 선제적으로 보상하겠다"고 발표한 지 불과 24시간도 채 지나지 않아 이뤄진 조치다. 피해 규모가 약 60명, 1인당 피해액이 3만~20만원 수준인 소액 사건이었지만 기업 내부 결재와 환불 시스템을 신속하게 가동해 고객의 불안을 조기에 잠재운 것이다.
장 대표는 사내 공지를 통해 이번 사태의 본질이 '외부 해킹'이 아닌 '계정 도용'임을 명확히 했다. 그는 메시지에서 "사고 인지 직후 내부 긴급 점검을 실시한 결과 외부 침입 흔적은 전혀 없었다"며 "이번 건은 해킹과는 무관한 사고임을 명확히 말씀드린다"고 강조했다.
G마켓은 이번 사고를 외부에서 불법 수집된 개인정보를 활용해 접속한 뒤 결제하는 '크리덴셜 스터핑'(Credential Stuffing) 방식의 도용 범죄로 파악하고 있다.
장 대표는 "사고 인지 직후인 29일 오후 8시경 연관 IP를 즉시 차단했으며 같은 날 오후 11시경 결제 관련 보안 정책을 상향 조치해 이후 추가 피해는 발생하지 않았다"며 초기 대응 상황을 설명했다.
그는 법적 의무 신고 대상(1인당 피해 100만원 이상 등)이 아님에도 금융당국에 자진 신고한 배경에 대해 "최근 타사(쿠팡)의 해킹 의심 사고와 맞물려 중대한 사안으로 판단했기 때문"이라며 정공법을 택한 이유를 밝혔다.
업계 관계자는 "보안 사고 발생 시 책임 소재를 따지느라 골든타임을 놓치는 경우가 많은데 G마켓의 이번 대응은 '선 조치 후 규명'의 모범 답안을 보여줬다"고 평가했다.
다음은 제임스장 CEO 메시지 전문이다.
━
[CEO 메시지] 최근 도용 의심 사고 관련 사실 및 대응 현황 공유지난 29일, 당사 사이트에서 도용이 의심되는 고객 피해 사례가 발생했습니다.
언론 보도를 통해 소식을 접하시고 우려하셨을 임직원 여러분께, 현재까지 확인된 사실을 투명하게 공유드립니다.
먼저 이번 건은 해킹과는 무관한 사고임을 말씀드립니다.
사고 인지 직후 즉시 내부 긴급 점검을 실시한 결과, 외부 침입 흔적은 전혀 없었습니다.
이번 사고는 외부에서 불법 수집한 개인정보를 활용해 로그인한 뒤, 결제한 수법으로, 여러 사이트에서 동일한 계정을 사용하는 관행을 악용한 전형적인 '도용 범죄'로 추정하고 있습니다.
당사는 사고 인지 직후인 29일 20시경에 연관 IP를 즉시 차단했으며, 29일 23시경에는 결제 관련 보안 정책을 상향 조치하여 이후 추가 피해는 발생하지 않았습니다.
다만, 이번 사건이 최근 발생한 타사 해킹 의심 사고 시점과 맞물린 점을 고려해, 중대한 사안으로 판단하고 관계 기관인 금융감독원에 선제적으로 신고하였습니다.
사건 초기에 신속하고 정확하게 대응해 주신 임직원 여러분께 감사의 말씀을 드립니다.
G마켓을 믿고 이용해 주신 고객께 피해가 발생한 점은 매우 안타까운 일입니다.
당사는 피해를 입은 고객 전원에게 도의적 차원의 선보상을 결정하였으며, 경찰 등 관련 기간 신고를 적극 권유하여 도용 범죄 근절에도 앞장설 것입니다.
G마켓은 철저한 보안 관리 체계 하에 안전하게 운영되고 있음을 확신합니다.
이번 사례를 계기로 전사 차원에서 보안 의식을 더욱 강화하고, 보다 안전한 개인정보 관리 환경을 선도해 나가겠습니다.
감사합니다.
James Chang(장승환) 드림
<저작권자 © ‘재테크 경제주간지’ 머니S, 무단전재 및 재배포 금지>